首页 > 系统相关 >Windows EC2实例自动轮换密钥符合企业合规性

Windows EC2实例自动轮换密钥符合企业合规性

时间:2023-01-09 12:33:25浏览次数:60  
标签:IAM 角色 Windows 创建 合规性 点击 实例 密钥 EC2

通常情况下,在组织或者企业中,各种环境都有较为严格的合规性控制,不管是访问权限还是各种资源等等,在这里我来介绍一下密码定时轮换的相关操作。

--课程与题库整理--

相关题库整理和课程分享

--

官网摘录:AWS Support 为您提供了 Systems Manager Run Command 文档,目的是与您启用了 Systems Manager 的实例交互来运行 EC2Rescue for Windows Server。Run Command 文档称为 AWSSupport-RunEC2RescueForWindowsTool。

 

这里我们可以利用Systems Manager Run Command中的重置本地管理员密码功能来实现本操作。

开始操作步骤:

 

1.创建 IAM 角色

导航到IAM。

在左侧菜单中,单击角色。单击创建角色该按钮以创建新的 IAM 角色。

在创建角色部分,为角色选择可信实体类型:AWS 服务

使用案例:EC2

单击下一步。

添加权限:现在,您可以看到策略列表。按名称AmazonSSMManagedInstanceCore搜索权限后添加。

单击下一步。

角色名称:输入 SSMRole。

您已成功按名称 SSMRole 创建了一个 IAM 角色。

现在我们继续向此IAM角色添加内联策略,以便SSM可以将加密的密码写入参数仓库。

内联策略摘自官网:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/*"
            ]
        }
    ]
}

 

内联策略名称可随喜好填写,之后点击创建策略即可完成IAM角色的创建。

 

2.创建 Windows EC2 实例

 

请确保您位于美国东部(弗吉尼亚北部)us-east-1 区域。

顶部菜单导航到 EC2

左侧面板,单击实例,然后单击启动新实例。

 

(1)名称和标签:随意填写即可,这是实例的显示名称。

(2)应用程序和操作系统映像:选择Windows镜像Microsoft Windows Server 2022 Base

(3)选择实例类型:t2.micro即可

(4)密钥对:选择账户中存在的密钥对或者新创建

(5)网络设置:保持默认即可

(6)配置存储:保持默认即可

(7)高级详细信息:IAM 实例配置文件选择刚刚创建的IAM角色,其他保持默认

(8)最后启动实例

 

 

3. 创建客户托管的 KMS 密钥

 

请确保您位于美国东部(弗吉尼亚北部)us-east-1 区域

顶部菜单导航到 KMS

点击创建密钥按钮。

在配置密钥下:

密钥类型:选择对称

点击下一步

在添加标签下:

别名 : 输入aws-kms-key

描述 : 输入encode ec2 password

点击下一步

在定义密钥管理权限下:密钥管理员保持默认

点击下一步

定义密钥使用权限:选择刚刚创建的IAM角色SSMRole

点击下一步

审核所有内容,然后单击完成

您已成功创建 KMS 密钥

 

 

4. 创建SSM 维护时段

 

请确保您位于美国东部(弗吉尼亚北部)us-east-1 区域

顶部菜单导航到Systems Manager

左侧列表中选择维护时段后点击Create Maintenance Window

创建维护时段:

名称:可根据喜好自行设置

计划:Cron 计划生成器 默认选项即可

(当然我们这里为了演示效果可以设置CRON表达式为5分钟一次实现效果(0 */5 * * * ? *))

持续时间:24

停止任务启动:0

 

最后点击创建维护时段按钮即可。

 

5. 为SSM 维护时段配置目标

 

点击刚刚创建的维护时段进入到目标选项卡中点击注册目标按钮。

向下滚动在目标中选择手动选择实例选项

选中刚刚创建的Windows EC2实例

最后点击注册目标按钮即可。

 

6. 为SSM 维护时段配置任务

 

点击刚刚创建的维护时段进入到任务选项卡中点击注册任务按钮。

选择 注册运行命令任务

向下滚动

在命令文档选择中选择AWSSupport-RunEC2RescueForWindowsTool

 

其他保持默认

目标选择项中选择刚刚注册的目标组。

速率选项:并发和错误填写为5即可。

IAM 服务角色:保持默认

参数:Command为ResetAccess,Parameters为刚刚创建的KMS密钥ID

 

最后选择注册运行命令任务按钮即可。

 

7. 半小时后SSM参数仓库检查结果

 

请确保您位于美国东部(弗吉尼亚北部)us-east-1 区域

顶部菜单导航到Systems Manager

左侧列表中选择Parameter Store后点击查看结果。

 

 

同时还可以使用此密码登录实例验证密码是否正确。

标签:IAM,角色,Windows,创建,合规性,点击,实例,密钥,EC2
From: https://www.cnblogs.com/lalapodocloud/p/17036691.html

相关文章

  • Windows中的SID详解
    SID详解前言SID也就是安全标识符(SecurityIdentifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的SID。Windo......
  • 搭建windows下的android开发环境
    搭建windows下面的android开发环境一般需要以下工具或软件:1. ​​jdk​​(要求jdk5或jdk6)2. ​​eclipse​​​(要求eclipse3.4或eclipse3.5)(​​汉化包下载​​)3. ......
  • Windows定时关机小程序
    #前言Windows的批处理命令写的一个简单定时关机小程序一、运行截图二、源码代码如下(示例):@echoofftitle定时关机echo====---====echo定时关机小程序echo......
  • Windows 安装包制作工具
    作者:光何链接:https://zhuanlan.zhihu.com/p/593859484来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。软件开发的最后一步即安装包的制......
  • Windows 11安装etcd
    一、从官方网站找到Windows版的安装包下载https://etcd.io/把etcd的压缩包解压到D:/soft/etcd文件夹下,首先运行etcd.exe,这是启动etcd服务的,接着就可以使用etcdctl.exe命......
  • Windows 11 内核新调试器「GitHub 热点速览 v.23.01」
    本周热点趋势榜虽然新项目不多,但是还是有几个不错值得收藏的工具项目,比如用来做文本转语音的tortoise-tts能生成更加贴近真实人声的语音,让Golang并发更出色的conc,以......
  • 图文并茂windows10安装VMware创建CentOS-7-x86_64运行linux系统
    VMware是什么VMWare(VirtualMachineware)可以使你的计算机上同时运行几个系统、例如windows、DOS、LINUX等同时存在,可以将这些系统像程序似的随时切换,并且不会影响主......
  • Windows注册表注入
    目前能够对exe文件注入,但是由于这种注入方式是针对所有的GUI程序,我目前写的代码是,只要开线程了,我检查是否有名为FlappyBird的程序在运行,有就会弹出一次窗口。这就会有一......
  • 安装蓝叠安装模拟器在Windows10
      下载地址:https://www.bluestacks.com/download.html     如果想使用模拟器打开tiktok的话可以如下操作 ......
  • windows 和 ubuntu 操作环境下 caps 与 ctrl 互换
    windowscaps与ctrl互换 1.新建文件keymap.reg,用记事本打开,输入以下内容,双击keymap.reg注册修改,重启后生效WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACH......