Entradas

"Monitorizando la monitorización" - CloudWatch - assume-role y plugin Check_MK

Imagen
En el post de hoy, veremos como implantar un plugin personalizado en Check_MK, que monitorizará las alertas de CloudWatch, en un escenario en el que administramos más de una cuenta de AWS, de una manera modular y escalable.

Nos será útil para estar al tanto del estado de todas las alertas; por poner un ejemplo, en ocasiones puede ocurrir, que como resultado de un autoescalado, haya cambiado el id de una instancia, y el agente de CloudWatch no se esté ejecutando, lo que resultaría en un "Insufficient Data".

FuncionalidadLambda (Se ejecutará cada X tiempo)Definimos una lista con los "Role Arn" de todas las cuentas de AWS que queremos monitorizar.La lambda recorre dicha lista y mediante "Assume-role" obtiene las credenciales de seguridad temporales necesarias, para cada una de las cuentas definidas anteriormente:Una ID de clave de accesoUna clave de acceso secretaUn token de seguridad.Lo que le permitirá acceder a las alertas configuradas en CloudWatch y ob…

Lambda MFA Checker - AWS - Parte 2

Imagen
Mejora de la funcionalidad de MFA_Check Este post es la continuación de la parte 1. He mejorado la funcionalidad del anterior script además de refactorizar el código. No soy ningún experto en Python, pero he intentado que esté más ordenado que antes, teniendo una sección de configuración, además de un switch para activar el modo DEBUG.
¿Qué ha cambiado?La función Lambda envía automáticamente el email con las instrucciones MFA a los usuarios que no tienen MFA activado. Al administrador le llega un e-mail con la lista de usuarios que no tienen MFA activado, precisando también, cuáles de éstos supera además "n" de días de antigüedad.Para ello ya no usaremos Amazon Simple Notification Service (SNS) sino Amazon Simple Email Service (SES)Ahora filtraremos a los usuarios cuyo nombre de usuario sea una dirección de correo electrónico de nuestra organización. (Está pensado para detectar solo a los usuarios cuyo nombre es: "user@example.com" descartando a los usuarios prog…

Lambda MFA Checker - AWS - Parte 1

Imagen
El uso de la autenticación multi-factor (MFA) se hace imprescindible en AWS, pues los daños/costes de un acceso no autorizado a nuestra consola de AWS podrían ser catastróficos, sobre todo si el usuario afectado tuviera permisos de administración.
Por tanto, la activación del MFA es el primer paso que todo usuario debería de seguir nada más tuviera acceso a la consola de AWS; pero no siempre se sigue esta buena práctica, siendo una problema de seguridad, más aún si hablamos de una organización grande, en la que se complica el seguimiento de: "qué usuarios tienen MFA activado y cuales no".
Como solución a este caso, en este post, detallaré la configuración en AWS, para poner en marcha una Lambda que:
Liste los usuarios de IAM.Haga un array de los usuarios que no tienen MFA, calculando además el tiempo de antigüedad de cada uno.Envíe una notificación mediante SNS del todal de usuarios que no tienen MFA.Envíe otra notificación mediante SNS de los usuarios que no tienen MFA y qu…