Comment puis-je utiliser AWS Config pour être notifié lorsqu’une ressource AWS n’est pas conforme ?

Lecture de 4 minute(s)
0

Je souhaite créer une règle Amazon EventBridge qui m'envoie une notification par e-mail personnalisée lorsque les ressources AWS ne sont pas conformes.

Brève description

Pour faire correspondre la sortie d'une règle d'évaluation AWS Config à la valeur NON_COMPLIANT, créez d'abord une règle EventBridge avec un modèle d'événement personnalisé et un transformateur d'entrée. Puis, acheminez la réponse vers une rubrique Amazon Simple Notification Service (Amazon SNS).

Résolution

Dans l'exemple suivant, des notifications SNS sont reçues lorsque la règle gérée ec2-security-group-attached-to-eni signale les ressources AWS comme NON_COMPLIANT. La ressource non conforme est un groupe de sécurité Amazon Elastic Compute Cloud (Amazon EC2).

Remarque : Vous pouvez remplacer le type de ressource et la règle AWS Config pour votre service AWS spécifique et les règles AWS Config.

Procédez comme suit :

  1. Créez une rubrique Amazon SNS. Si vous disposez déjà d’une rubrique Amazon SNS, passez à l'étape suivante.
    Important : La rubrique Amazon SNS doit se trouver dans la même région AWS que votre service AWS Config.

  2. Ouvrez la console EventBridge.

  3. Sélectionnez Règle EventBridge, puis Créer une règle.

  4. Sur l'écran Définir les détails de la règle, sous Détails de la règle, saisissez les informations suivantes :
    Pour Nom, saisissez le nom de votre règle.
    (Facultatif) Pour Description, saisissez une description de la règle.
    Pour Type de règle, sélectionnez Règle avec un modèle d’événement. Puis, sélectionnez Suivant.

  5. Pour Source d’événement, sélectionnez Événements AWS ou événements partenaires EventBridge.

  6. Sous Méthode de création, sélectionnez Modèle personnalisé (éditeur JSON), puis saisissez l'exemple de modèle d'événement suivant :

    {
      "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          "ec2-security-group-attached-to-eni"
        ],
        "resourceType": [
          "AWS::EC2::SecurityGroup"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  7. Sélectionnez Suivant.

  8. Sur l'écran Sélectionner la ou les cibles, saisissez les informations suivantes :
    Pour Types de cibles, sélectionnez Service AWS.
    Pour Sélectionner une cible, sélectionnez Rubrique SNS.
    Pour Rubrique, choisissez votre rubrique SNS.
    Sous Paramètres supplémentaires, pour Configurer l'entrée cible, sélectionnez Transformateur d'entrée.
    Sélectionnez Configurer le transformateur d’entrée.
    Sous Transformateur d'entrée cible, pour la zone de texte Chemin d’entrée, saisissez l'exemple de chemin suivant :

    {
      "awsRegion": "$.detail.awsRegion",
      "resourceId": "$.detail.resourceId",
      "awsAccountId": "$.detail.awsAccountId",
      "compliance": "$.detail.newEvaluationResult.complianceType",
      "rule": "$.detail.configRuleName",
      "time": "$.detail.newEvaluationResult.resultRecordedTime",
      "resourceType": "$.detail.resourceType"
    }

    Pour Modèle, saisissez l'exemple de modèle suivant :

    "On yourTime AWS Config rule yourRule evaluated the yourResourceType with Id yourResourceId in the account yourAWSAccountId Region yourAwsRegion as yourCompliance. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=yourAwsRegion#/timeline/yourResourceType/yourResourceId]/configuration"

    Remarque : Dans l'exemple précédent, remplacez yourTime, yourRule, yourResourceType, yourResourceId, yourAWSAccountId, yourAWSRegion, et yourCompliance par vos propres valeurs pour l'heure, la règle, le type de ressource, l'ID de compte AWS et la région AWS, la conformité et les informations sur les ressources, selon votre cas d'utilisation.
    Sélectionnez Confirmer.

  9. Sélectionnez Suivant. Puis, sélectionnez Suivant.

  10. Sélectionnez Créer une règle.

Une fois qu'un type d'événement est déclenché, vous recevez une notification par e-mail SNS avec les champs personnalisés renseignés.

Exemple :

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_ID in Region ExampleRegion as ExampleComplianceType. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Informations connexes

Comment puis-je être notifié lorsque des modifications sont apportées aux enregistrements de zone hébergée d'Amazon Route 53 ?

Comment puis-je recevoir des notifications personnalisées par e-mail lorsqu’une ressource est créée dans mon compte AWS à l’aide du service AWS Config ?

Comment puis-je configurer une règle EventBridge afin que GuardDuty envoie des notifications SNS personnalisées pour des types d'événements de service AWS spécifiques ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 4 mois