c7n-guardian: 自动化多账户守护职责设置

Amazon Guard Duty为您的aws账户中的资源提供基于机器学习的威胁智能和检测。本项目提供了一款cli工具，用于自动化aws守护职责的多账户设置。给定一个包含一组账户信息的配置文件，该cli工具将设置一个为主账户，其余为成员账户。

以下cli将启用所有标记为dev的账户的守护职责。主守护职责账户可以通过名称或账户ID指定。运行enable多次将以幂等方式收敛。

$ c7n-guardian enable --config accounts.yml --master 120312301231 --tags dev

账户配置文件与c7n-org类似，增加了账户电子邮件。

$ cat accounts.yml

accounts:
  - name: guard-duty-master
    email: guard-duty-master@example.com
    account_id: "2020202020202"
    role: "arn:aws:iam::2020202020202:role/CustodianGuardDuty"
    tags:
      - prod

  - name: cicd
    email: cicd@example.com
    account_id: "1010101010101"
    role: "arn:aws:iam::1010101010101:role/CustodianGuardDuty"
    tags:
      - dev
      - cicd

cli还支持禁用和报告账户

$ c7n-guardian --help
Usage: c7n-guardian [OPTIONS] COMMAND [ARGS]...

  Automate Guard Duty Setup.

Options:
  --help  Show this message and exit.

Commands:
  disable  suspend guard duty in the given accounts.
  enable   enable guard duty on a set of accounts
  report   report on guard duty enablement by account

账户凭证

该cli需要凭证访问以假设配置文件中所有账户（主账户和成员账户）的角色，使用的执行凭证可以来自配置文件，或来自角色假设，以及aws sdk支持的凭证来源。

使用custodian策略进行修复

以下是一些示例策略，它们将部署一个custodian lambda，该lambda接收守护职责通知并对受警告的资源执行一些基本修复，分别停止EC2实例和删除访问密钥。您有权访问custodian的操作和过滤器，以执行对事件响应的额外活动。

policies:

 - name: ec2-guard-remediate
   resource: ec2
   mode:
     role: arn:aws:iam::{account_id}:role/CustodianPolicyExecution
     type: guard-duty
   filters:
     # Filter for medium and high severity events
     - type: event
       key: detail.severity
       op: gte
       value: 4.5
   actions:
     - stop

 - name: iam-guard-remediate
   resource: iam-user
   mode:
     role: arn:aws:iam::{account_id}:role/CustodianPolicyExecution
     type: guard-duty
   filters:
     # Only a particular type of event, go ahead and remove keys
     - type: event
       key: detail.type
       value: "UnauthorizedAccess:IAMUser/TorIPCaller"
   actions:
     - remove-keys