Amazon Web Services 的 Attack Surface Analyzer

通过 Attack Surface Analyzer，您可以识别 AWS 云目录中的配置错误，从而增强云安全性。

以下是 Attack Surface Analyzer 追踪的 AWS 云目录服务列表：

先决条件

为了使 Attack Surface Analyzer 无缝运行，ADAudit Plus 服务器应具备 可用的互联网连接。另外， ADAudit Plus 服务器上的出站 HTTPS 端口 443 需要开放以便与 AWS 云目录通信。

在 ADAudit Plus 中配置 AWS 云目录进行攻击面分析之前，您需要：

• 创建用户并通过 IAM 策略附加适当的权限。
• 获取账户 ID、访问密钥和密钥密钥。

有两种方式可以创建用户并通过 IAM 策略附加适当权限：

1. 使用 AWS CloudFormation
2. 使用 AWS IAM 控制台

使用 AWS CloudFormation 创建用户和附加 IAM 策略

1. 登录 AWS 管理控制台并转至 CloudFormation.
2. 在顶部导航栏，点击账户信息左侧的区域列表，选择您希望创建堆栈的区域。



3. 点击 创建堆栈 并从下拉菜单中选择 使用新资源（标准） 。



4. 在 创建堆栈 页面上，在 指定模板 面板的 模板来源中，选择 上传模板文件.
5. 下载此 模板文件.
6. 点击 选择文件，浏览刚下载的文件，选中后点击 打开.
7. 文件上传完成后，点击 下一步.



8. 输入合适的 堆栈名称。在 参数 面板，您可以选择更改策略和用户的名称。选择 false 在 UseExistingUser 下，并点击 下一步.



9. 在 配置堆栈选项 页面，保留默认设置并点击 下一步.
10. 在 审核并创建 页面，审核您的设置，勾选 确认复选框，然后点击 提交.



11. 堆栈创建完成后，选择 资源 标签并点击刚创建的用户。您将被重定向到 IAM 控制台。继续执行 获取访问密钥和密钥密钥.

使用 AWS IAM 控制台创建用户并附加 IAM 策略

使用此方法，您需要先在 IAM 控制台创建策略，然后创建用户并附加该策略。

在 IAM 控制台创建策略

1. 登录 AWS 管理控制台并打开 IAM 控制台.
2. 在 IAM 仪表盘选择 策略，然后点击 创建策略.



3. 在 策略编辑器 页面，选择 JSON 模式，复制并粘贴 此文件中的权限语句，点击 下一步.



4. 输入此策略的合适名称和描述，审核服务所需权限后，点击 创建策略.



5. 完成后您将被重定向至 IAM 策略页面。

创建用户并附加策略

1. 在 IAM 控制台中，选择 用户 导航菜单，然后点击 创建用户.



2. 输入合适的 输入新用户的 用户名，并点击 下一步.



3. 在 设置权限 页面，选择 直接附加策略.
4. 浏览并选择刚创建的策略，点击 下一步.



5. 审核选择后点击 创建用户.

获取访问密钥和密钥密钥

1. 在 IAM 控制台，点击 用户 导航菜单，选择您创建的用户。
2. 点击 安全凭证 标签，在 访问密钥 面板点击 创建访问密钥.



3. 选择 其他 作为使用场景，点击 下一步.



4. 如需，设置合适的描述标签值，点击 创建访问密钥.
5. 密钥创建完成后，您可以查看用户的 访问密钥 及 密钥密钥将它们复制到剪贴板，因为在 ADAudit Plus 中配置 AWS 云目录时需要使用它们。
6. 从顶部导航栏中，点击账户信息旁的下拉菜单，复制 账户 ID，然后点击 完成.

在 ADAudit Plus 中配置 AWS 云目录

1. 登录到您的 ADAudit Plus 网络控制台。
2. 导航到 云目录 选项卡 > Attack Surface Analyzer > 配置 > 云目录.
3. 点击 +添加云目录 在右上角。
4. 选择 AWS 云 从 添加云目录 弹出窗口。



5. 输入合适的 显示名称 并输入之前复制的账户 ID、访问密钥和秘密访问密钥，分别填入 账户号码，访问密钥 ID和 秘密访问密钥 字段。
6. 选择 审计日志 复选框，如果您想获取并监控在 AWS 云目录中执行的所有操作，然后点击 下一步.



7. 查看您的设置并点击 完成.