【发布时间】:2018-09-26 21:46:06
【问题描述】:
我正在编写云托管策略以查找在创建时未加密的 s3 存储桶 - 向 slack 发送电子邮件 5 天 - 然后在第 6 天加密。 我已经弄清楚了通过电子邮件发送给 slack 的组件。但无法将逻辑标记为 S3 存储桶进行加密,然后在当前日期进行加密。任何帮助表示赞赏
【问题讨论】:
标签: amazon-s3 aws-lambda policy cloudcustodian
【发布时间】:2018-09-26 21:46:06
【问题描述】:
考虑使用 lambda 作为自定义 AWS Config 规则,或创建一个触发标准规则合规性更改的 lambda:S3 bucket encryption is enabled。
对于任何一个,lambda 都会识别存储桶并应用加密设置。
棘手的部分是在第 6 天应用这个。立即申请将更好地执行该政策。为此,需要单独存储存储桶 ARN 和应用加密设置的日期,以及运行发送另一条 Slack 消息或应用加密的函数的调度程序。
对于第一种方法,有创建自定义规则的文档:
- 指南:How to Audit Your AWS Resources for Security Compliance by Using Custom AWS Config Rules
- Documentation
对于第二种方法,使用
创建一个CloudWatch rule- 服务名称:配置
- 事件类型:配置规则合规性更改
- 目标:您的 lambda 函数
【讨论】: