Wie füge ich Korrekturmaßnahmen zu den AWS-Config-Organisationsregeln hinzu?

Lesedauer: 3 Minute
0

Ich möchte Korrekturmaßnahmen verwenden, aber die AWS-Config-Organisationsregel unterstützt keine Korrekturmaßnahmen.

Kurzbeschreibung

Damit Ihre AWS-Config-Regel Ihrer Organisation entspricht, verwenden Sie ein benutzerdefiniertes Ereignismuster mit einer Amazon EventBridge-Regel. Wählen Sie anschließend das AWS-Systems-Manager-Automation-Runbook als Ziel aus.

Behebung

In diesem Beispiel wird das Runbook AWS-TerminateEC2Instance auf nicht konformen Ressourcen aus der Organisationsregel mit dem Ressourcentyp AWS::EC2::Instance ausgeführt. Die Amazon Elastic Compute Cloud (Amazon EC2)-Instance wurde beendet, weil sie nicht konform ist.

Hinweis:

  • Verwenden Sie einen Ressourcentyp, der für Ihren AWS-Service und den Namen Ihrer Organisationsregel spezifisch ist.
  • Verwenden Sie AWS CloudFormation StackSets, um die Korrekturmaßnahme für die Ressourcen Ihrer Mitgliedskonten durchzuführen, und richten Sie die EventBridge-Regel mit einem Runbook ein.
  • Stellen Sie sicher, dass Sie über Amazon-EC2-Berechtigungen zum Ausführen des AWS-Systems-Manager-Automation-Runbooks verfügen.

Führen Sie die folgenden Schritte aus:

  1. Stellen Sie sicher, dass Sie über eine Vertrauensrichtlinie für die Systems-Manager-Automation-Rolle verfügen, die der folgenden ähnelt:

    {  "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": [
              "ssm.amazonaws.com"
            ]
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
  2. Öffnen Sie die EventBridge-Konsole.

  3. Wählen Sie im Navigationsbereich Regeln und dann Regel erstellen aus.

  4. Geben Sie im Feld Name und Beschreibung einen Namen und eine Beschreibung für die Regel ein.

  5. Wählen Sie unter Muster definieren die Option Ereignismuster aus.

  6. Wählen Sie unter Ereignis-Abgleichsmuster die Option Benutzerdefiniertes Muster aus.

  7. Geben Sie im Feld Ereignismuster das folgende Beispiel für ein Ereignismuster ein. Ersetzen Sie TestRuleExample durch den Namen der Zielorganisationsregel in Ihrem Konto:

    {  "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          {
            "prefix": "OrgConfigRule-TestRuleExample-"
          }
        ],
        "resourceType": [
          "AWS::EC2::Instance"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  8. Wählen Sie Speichern.

  9. Wählen Sie für Ziel die Option SSM Automation aus.

  10. Wählen Sie für Dokument die Option AWS-TerminateEC2Instance aus.

  11. Erweitern Sie Dokumentversion konfigurieren und wählen Sie die Option Neueste aus.

  12. Erweitern Sie Automatisierungsparameter konfigurieren und wählen Sie anschließend Eingangstransformator aus.

  13. Geben Sie für Eingabepfad Folgendes ein:

{"instanceid":"$.detail.resourceId"}
  1. Geben Sie für das Textfeld Instance-ID Folgendes ein. Ersetzen Sie den Beispiel-ARN durch den ARN Ihrer Systems-Manager-Rolle:
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
  1. Wählen Sie entweder Neue Rolle erstellen oder Bestehende Rolle verwenden und anschließend Erstellen aus.
    Hinweis: Vergewissern Sie sich, dass der EventBridge-Regelstatus Aktiviert ist.

Weitere Informationen zum Status von AWS-Config-Organisationsregeln sowie eine Liste von AWS-Config-Regeln finden Sie unter describe-organization-config-rule-statuses und describe-organization-config-rules.

Ähnliche Informationen

Wie kann ich benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn mit dem AWS-Config-Service eine Ressource in meinem AWS-Konto erstellt wird?

AWS-Config-Regeln verwenden, um nicht konforme Ressourcen automatisch zu korrigieren

Tutorial: Verwendung des Eingabe-Transformators, um Weiterleitungen von EventBridge an das Ereignisziel anzupassen

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr