zcmendes/aws-config-auto-remediation-lab

GitHub: zcmendes/aws-config-auto-remediation-lab

基于 AWS Config 与 Systems Manager Automation 的云合规监控和自动修复实验，演示如何持续评估 EC2 与 S3 资源安全状态并自动恢复合规。

Stars: 0 | Forks: 0

# AWS Config 自动修复实验 ![AWS](https://img.shields.io/badge/AWS-Config-orange) ![Security](https://img.shields.io/badge/Security-Compliance-blue) ![Automation](https://img.shields.io/badge/Automation-Remediation-green) ## 目录 - 概述 - 实验场景 - 架构 - 合规仪表板 - 资源清单 - AWS Config 规则 - 自动修复 - 使用的服务 - 安全要求 - 合规工作流 - 学习成果 - 结果 ## 概述本项目演示了如何使用 AWS Config 监控基础设施合规性、根据安全策略评估 AWS 资源，以及使用 AWS Systems Manager Automation 自动修复不合规的资源。本实验模拟了云安全管理员的角色，负责根据组织的安全要求保护 Amazon EC2 实例和 Amazon S3 存储桶。 ## 实验场景云安全团队需要持续监控 AWS 资源并自动执行合规要求。我们使用 AWS Config 托管规则根据预定义的安全策略评估 Amazon EC2 和 Amazon S3 资源。同时集成了 AWS Systems Manager Automation 来修复不合规的资源，并维持所需的安全状态。 ## 主要功能 - 使用 AWS Config 进行持续合规监控 - 使用 AWS Systems Manager Automation 进行自动修复 - EC2 公网 IP 检测与执行 - S3 版本控制合规检查 - S3 访问日志强制执行 - 安全治理与合规自动化 ## 架构该解决方案使用 AWS Config 根据合规要求持续评估 AWS 资源。当资源变为不合规状态时，AWS Config 会触发 AWS Systems Manager Automation 文档，自动修复问题并恢复所需的安全状态。 ![架构](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6bfa29f953220642.png) ## 合规仪表板 AWS Config 仪表板展示了 EC2 和 S3 资源的合规评估结果。 - 4 项 AWS Config 托管规则 - 已启用合规监控 - 已检测到不合规资源 - 通过 AWS Systems Manager 配置了自动修复 ![合规仪表板](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/ec06e05f1a220648.png) ## 资源清单 AWS Config 资源清单显示了配置记录器发现和跟踪的所有 Amazon S3 存储桶。 - 已启用配置记录 - 跨 AWS 服务的资源发现 - 用于合规监控的清单跟踪 - 支持历史配置跟踪 ![资源清单](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/777e0c99e9220654.png) ## AWS Config 规则部署了 AWS Config 托管规则，以持续评估 EC2 和 Amazon S3 资源的合规性。本实验使用了四项 AWS 托管规则： | 规则名称 | 用途 | |------------|----------| | isolated-compute-rule | 检测具有公网 IP 地址的 EC2 实例 | | s3-block-public-access | 防止对 S3 存储桶的公开访问 | | s3-bucket-versioning-on | 确保启用存储桶版本控制 | | s3-bucket-logging-on | 确保在关键存储桶上启用日志记录 | 合规结果识别出了不合规的资源，并通过 AWS Systems Manager Automation 触发了修复工作流。 ![AWS Config 规则](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/dad1e30a73220700.png) ## 自动修复 AWS Config 与 AWS Systems Manager Automation 集成，以自动修复不合规的资源。 ### EC2 实例修复 AWS Config 托管规则 **isolated-compute-rule** 可检测关联了公网 IPv4 地址的 EC2 实例。为了执行网络隔离要求，该规则配置了以下 AWS Systems Manager Automation 文档： - **AWS-TerminateEC2Instance** 当检测到不合规的 EC2 实例时，修复工作流可自动终止受影响的实例。 ![EC2 自动修复](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/deec98b3d3220706.png) ### S3 存储桶版本控制修复 AWS Config 托管规则 **s3-bucket-versioning-on** 配置为： - **AWS-ConfigureS3BucketVersioning** 此修复会在不合规的 S3 存储桶上自动启用版本控制。 ![S3 版本控制修复](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f40fdb8ebd220711.png) ### S3 存储桶日志记录修复 AWS Config 托管规则 **s3-bucket-logging-on** 配置为： - **AWS-ConfigureS3BucketLogging** 此修复会在不合规的 S3 存储桶上启用服务器访问日志记录。 ![S3 日志记录修复](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/5842b40739220717.png) ## 使用的服务 - AWS Config - Amazon EC2 - Amazon S3 - AWS Systems Manager Automation - AWS IAM - Amazon VPC ## 安全要求 ### EC2 - 实例不得具有公网 IPv4 地址。 ### S3 - 禁止公开读取访问。 - 必须启用存储桶版本控制。 - 关键存储桶必须启用访问日志记录。 ## 合规工作流 1. AWS Config 发现资源。 2. 托管规则评估合规性。 3. 识别出不合规的资源。 4. AWS Systems Manager Automation 执行修复操作。 5. 资源恢复到合规状态。 ## 学习成果 - 配置 AWS Config。 - 创建托管合规规则。 - 监控 AWS 资源合规性。 - 实施自动修复。 - 执行 S3 安全控制。 - 应用治理与安全最佳实践。 ## 结果本实验成功演示了如何使用 AWS Config 持续评估资源合规性并自动执行安全控制。托管规则识别出了不合规的 EC2 和 S3 资源，同时 AWS Systems Manager Automation 文档提供了自动修复功能，能够在无需人工干预的情况下恢复合规状态。 ## 作者 **Ze Mendes** 信息安全分析师 | 云安全 | DevOps | AWS - GitHub: https://github.com/zcmendes - LinkedIn: https://www.linkedin.com/in/zcmendes

标签：AWS, DPI, 系统运维, 自动化运维