Wie füge ich Korrekturmaßnahmen zu den AWS-Config-Organisationsregeln hinzu?
Ich möchte Korrekturmaßnahmen verwenden, aber die AWS-Config-Organisationsregel unterstützt keine Korrekturmaßnahmen.
Kurzbeschreibung
Damit Ihre AWS-Config-Regel Ihrer Organisation entspricht, verwenden Sie ein benutzerdefiniertes Ereignismuster mit einer Amazon EventBridge-Regel. Wählen Sie anschließend das AWS-Systems-Manager-Automation-Runbook als Ziel aus.
Behebung
In diesem Beispiel wird das Runbook AWS-TerminateEC2Instance auf nicht konformen Ressourcen aus der Organisationsregel mit dem Ressourcentyp AWS::EC2::Instance ausgeführt. Die Amazon Elastic Compute Cloud (Amazon EC2)-Instance wurde beendet, weil sie nicht konform ist.
Hinweis:
- Verwenden Sie einen Ressourcentyp, der für Ihren AWS-Service und den Namen Ihrer Organisationsregel spezifisch ist.
- Verwenden Sie AWS CloudFormation StackSets, um die Korrekturmaßnahme für die Ressourcen Ihrer Mitgliedskonten durchzuführen, und richten Sie die EventBridge-Regel mit einem Runbook ein.
- Stellen Sie sicher, dass Sie über Amazon-EC2-Berechtigungen zum Ausführen des AWS-Systems-Manager-Automation-Runbooks verfügen.
Führen Sie die folgenden Schritte aus:
-
Stellen Sie sicher, dass Sie über eine Vertrauensrichtlinie für die Systems-Manager-Automation-Rolle verfügen, die der folgenden ähnelt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Öffnen Sie die EventBridge-Konsole.
-
Wählen Sie im Navigationsbereich Regeln und dann Regel erstellen aus.
-
Geben Sie im Feld Name und Beschreibung einen Namen und eine Beschreibung für die Regel ein.
-
Wählen Sie unter Muster definieren die Option Ereignismuster aus.
-
Wählen Sie unter Ereignis-Abgleichsmuster die Option Benutzerdefiniertes Muster aus.
-
Geben Sie im Feld Ereignismuster das folgende Beispiel für ein Ereignismuster ein. Ersetzen Sie TestRuleExample durch den Namen der Zielorganisationsregel in Ihrem Konto:
{ "source": [ "aws.config" ], "detail-type": [ "Config Rules Compliance Change" ], "detail": { "messageType": [ "ComplianceChangeNotification" ], "configRuleName": [ { "prefix": "OrgConfigRule-TestRuleExample-" } ], "resourceType": [ "AWS::EC2::Instance" ], "newEvaluationResult": { "complianceType": [ "NON_COMPLIANT" ] } } }
-
Wählen Sie Speichern.
-
Wählen Sie für Ziel die Option SSM Automation aus.
-
Wählen Sie für Dokument die Option AWS-TerminateEC2Instance aus.
-
Erweitern Sie Dokumentversion konfigurieren und wählen Sie die Option Neueste aus.
-
Erweitern Sie Automatisierungsparameter konfigurieren und wählen Sie anschließend Eingangstransformator aus.
-
Geben Sie für Eingabepfad Folgendes ein:
{"instanceid":"$.detail.resourceId"}
- Geben Sie für das Textfeld Instance-ID Folgendes ein. Ersetzen Sie den Beispiel-ARN durch den ARN Ihrer Systems-Manager-Rolle:
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
- Wählen Sie entweder Neue Rolle erstellen oder Bestehende Rolle verwenden und anschließend Erstellen aus.
Hinweis: Vergewissern Sie sich, dass der EventBridge-Regelstatus Aktiviert ist.
Weitere Informationen zum Status von AWS-Config-Organisationsregeln sowie eine Liste von AWS-Config-Regeln finden Sie unter describe-organization-config-rule-statuses und describe-organization-config-rules.
Ähnliche Informationen
AWS-Config-Regeln verwenden, um nicht konforme Ressourcen automatisch zu korrigieren
Ähnliche Videos
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 6 Monaten
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 7 Monaten