Je souhaite utiliser des mesures correctives, mais la règle d’organisation AWS Config ne prend pas en charge les mesures correctives.
Brève description
Pour faire correspondre la règle AWS Config à votre organisation, utilisez un modèle d'événement personnalisé avec une règle Amazon EventBridge. Choisissez ensuite le dossier d’exploitation AWS Systems Manager Automation comme cible.
Résolution
Dans cet exemple de procédure, le dossier d’exploitation AWS-TerminateEC2Instance s’exécute sur des ressources non conformes issues de l’outil de configuration via le type de ressource AWS::EC2::Instance. L’instance Amazon Elastic Compute Cloud (Amazon EC2) est supprimée, car elle n’est pas conforme.
Remarque :
- utilisez un type de ressource spécifique à votre service AWS et au nom de votre outil de configuration.
- Utilisez AWS CloudFormation StackSets pour appliquer des mesures correctives sur les ressources de vos comptes membres. Ensuite, configurez la règle EventBridge à l’aide d’un dossier d’exploitation.
- Assurez-vous que vous disposez bien des autorisations Amazon EC2 pour exécuter le dossier d'exploitation d’AWS Systems Manager Automation.
Procédez comme suit :
-
Assurez-vous que vous disposez bien d’un contrat d’affiliation relatif aux rôles de Systems Manager Automation similaire à celui qui suit :
{ "Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
-
Ouvrez la console EventBridge.
-
Dans le volet de navigation, choisissezRègles, puis Créer une règle.
-
Dans Nom et description, saisissez le nom et la description de la règle.
-
Dans **Définir un modèle, ** choisissez Modèle d’événement.
-
Dans Modèle de correspondance d’événement, choisissez Modèle personnalisé.
-
Dans Modèle d'événement, saisissez l’exemple de modèle d’événement suivant. Remplacez TestRuleExample par le nom de l’outil de configuration cible dans votre compte :
{ "source": [
"aws.config"
],
"detail-type": [
"Config Rules Compliance Change"
],
"detail": {
"messageType": [
"ComplianceChangeNotification"
],
"configRuleName": [
{
"prefix": "OrgConfigRule-TestRuleExample-"
}
],
"resourceType": [
"AWS::EC2::Instance"
],
"newEvaluationResult": {
"complianceType": [
"NON_COMPLIANT"
]
}
}
}
-
Choisissez Enregistrer.
-
Pour Cible, choisissez Automatisation SSM.
-
Pour Document, choisissez AWS-TerminateEC2Instance.
-
Cliquez sur Configurer la version du document, puis choisissez Dernière version.
-
Cliquez sur Configurer les paramètres d'automatisation, puis choisissez Transformateur d’entrée.
-
Pour Chemin d’entrée, saisissez les informations suivantes :
{"instanceid":"$.detail.resourceId"}
- Dans la zone de texte ID d'instance, saisissez ce qui suit. Remplacez l’ARN de l’exemple par l’ARN de votre rôle de gestionnaire des ressources :
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
- Choisissez Créer un nouveau rôle ou Utiliser un rôle existant, puis choisissez Créer.
Remarque : assurez-vous que le statut de la règle EventBridge est Activé.
Pour plus d’informations sur le statut de l’outil de configuration AWS Config Rules et pour obtenir une liste des règles AWS Config, consultez describe-organization-config-rule-statuses et describe-organization-config-rules.
Informations connexes
Comment puis-je recevoir des notifications personnalisées par e-mail lorsqu’une ressource est créée dans mon compte AWS via le service AWS Config ?
Utiliser les règles AWS Config Rules pour corriger automatiquement les ressources non conformes
Tutoriel : Utiliser le transformateur d’entrée pour personnaliser les notifications EventBridge transmises à la cible de l’événement