¿Cómo puedo usar AWS Config para recibir notificaciones cuando un recurso de AWS no cumple con los requisitos?

4 minutos de lectura
0

Quiero crear una regla de Amazon EventBridge que me envíe una notificación personalizada por correo electrónico cuando los recursos de AWS no cumplan con los requisitos.

Descripción breve

Para hacer coincidir la salida de una regla de evaluación de AWS Config como NON_COMPLIANT, primero crea una regla de EventBridge con un patrón de eventos personalizado y un transformador de entrada. A continuación, dirige la respuesta de EventBridge a un tema de Amazon Simple Notification Service (Amazon SNS).

Resolución

En el siguiente ejemplo, las notificaciones de SNS se reciben cuando la regla administrada ec2-security-group-attached-to-eni notifica los recursos de AWS como NON_COMPLIANT. El recurso que no cumple los requisitos es un grupo de seguridad de Amazon Elastic Compute Cloud (Amazon EC2).

Nota: Puedes reemplazar el tipo de recurso y la regla de AWS Config para tu servicio de AWS específico y las reglas de AWS Config.

Sigue estos pasos:

  1. Crea un tema de Amazon SNS. Si ya tienes un tema de Amazon SNS, continúa con el siguiente paso.
    Importante: El tema de Amazon SNS debe estar en la misma región de AWS que tu servicio de AWS Config.

  2. Abre la consola de EventBridge.

  3. Selecciona Regla de EventBridge y, a continuación, selecciona Crear regla.

  4. En la pantalla Definición de detalles de reglas, en Detalles de la regla, introduce la siguiente información:
    En Nombre, introduce un nombre para la regla.
    (Opcional) En Descripción, introduce una descripción del rol.
    En Tipo de regla, selecciona Regla con un patrón de eventos. Después, selecciona Siguiente.

  5. En Origen del evento, selecciona Eventos de AWS o Eventos de socio de EventBridge.

  6. En Método de creación, selecciona Patrón personalizado (editor JSON) y, a continuación, introduce el siguiente ejemplo de patrón de eventos:

    {
      "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          "ec2-security-group-attached-to-eni"
        ],
        "resourceType": [
          "AWS::EC2::SecurityGroup"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  7. Selecciona Siguiente.

  8. En la pantalla Seleccionar destinos, introduce la siguiente información:
    En Tipos de destino, selecciona Servicio de AWS.
    En Seleccionar un destino, selecciona Tema de SNS.
    En Tema, selecciona el tema de SNS.
    En Configuración adicional, en Configurar la entrada de destino, selecciona Transformador de entrada.
    Selecciona Configurar transformador de entrada.
    A continuación, en Transformador de entrada de destino del cuadro de texto Ruta de entrada, introduce el siguiente ejemplo de ruta:

    {
      "awsRegion": "$.detail.awsRegion",
      "resourceId": "$.detail.resourceId",
      "awsAccountId": "$.detail.awsAccountId",
      "compliance": "$.detail.newEvaluationResult.complianceType",
      "rule": "$.detail.configRuleName",
      "time": "$.detail.newEvaluationResult.resultRecordedTime",
      "resourceType": "$.detail.resourceType"
    }

    En ** Plantilla**, introduce la siguiente plantilla de ejemplo:

    "On yourTime AWS Config rule yourRule evaluated the yourResourceType with Id yourResourceId in the account yourAWSAccountId Region yourAwsRegion as yourCompliance. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=yourAwsRegion#/timeline/yourResourceType/yourResourceId]/configuration"

    Nota: En el ejemplo anterior, sustituye yourTime, yourRule, yourResourceType, yourResourceId, yourAWSAccountId, yourAWSRegion e yourCompliance por tus propios valores de tiempo, regla, tipo de recurso, ID de recurso, ID de cuenta de AWS y región de AWS, cumplimiento e información de recurso según lo requiera tu caso de uso.
    Selecciona Confirmar.

  9. Selecciona Siguiente. Después, selecciona Siguiente.

  10. Selecciona Crear regla.

Cuando se active un tipo de evento, recibirá una notificación por correo electrónico de SNS con los campos personalizados rellenados.

Ejemplo:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_ID in Region ExampleRegion as ExampleComplianceType. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Información relacionada

¿Cómo puedo recibir notificaciones cuando se realicen cambios en los registros de la zona alojada de Route 53?

¿Cómo puedo recibir notificaciones personalizadas por correo electrónico cuando se crea un recurso en mi cuenta de AWS mediante el servicio AWS Config?

¿Cómo puedo configurar una regla de EventBridge para que GuardDuty envíe notificaciones de SNS personalizadas si se activan tipos específicos de eventos de servicios de AWS?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 4 meses