Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo

Come faccio ad aggiungere azioni correttive per le regole organizzative di AWS Config?

3 minuti di lettura
0

Vorrei implementare le azioni correttive, ma la regola AWS Config dell'organizzazione non supporta tali azioni.

Breve descrizione

Usa uno schema di eventi personalizzato con una regola Amazon EventBridge che corrisponde alla tua regola AWS Config per la tua azienda. Quindi, scegli il runbook di AWS Systems Manager Automation come destinazione.

Risoluzione

In questa procedura di esempio, il runbook AWS-TerminateEC2Instance viene eseguito su risorse non conformi della regola dell'organizzazione con il tipo di risorsa AWS::EC2::Instance. L'istanza Amazon Elastic Compute Cloud (Amazon EC2) viene terminata perché non conforme.

Nota:

  • Usa un tipo di risorsa specifico per il tuo servizio AWS e il nome delle regole organizzative.
  • Per eseguire l'azione correttiva sulle risorse dei tuoi account membri, configura la regola EventBridge con un runbook utilizzando AWS CloudFormation StackSets.
  • Assicurati di disporre delle autorizzazioni Amazon EC2 per eseguire il runbook di AWS Systems Manager Automation.

Completa i seguenti passaggi:

  1. Assicurati di disporre di una politica di attendibilità dei ruoli di Systems Manager Automation simile alla seguente:

    {  "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": [
              "ssm.amazonaws.com"
            ]
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
  2. Apri la console EventBridge.

  3. Nel riquadro di navigazione, seleziona Regole, quindi scegli Crea regola.

  4. In Nome e descrizione, inserisci un nome e una descrizione per la regola.

  5. In Definisci modello, scegli Modello evento.

  6. In Modello di corrispondenza degli eventi, scegli Modello personalizzato.

  7. In Modello di eventi, immetti il seguente esempio di modello di evento. Sostituisci TestRuleExample con il nome della regola dell'azienda di destinazione nel tuo account:

    {  "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          {
            "prefix": "OrgConfigRule-TestRuleExample-"
          }
        ],
        "resourceType": [
          "AWS::EC2::Instance"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  8. Scegli Salva.

  9. Per Destinazione, scegli SSM Automation.

  10. Per Document, scegli AWS-TerminateEC2 Instance.

  11. Espandi Configura la versione del documento e seleziona Più recente.

  12. Espandi Configura parametro/i di automazione, quindi seleziona Trasformatore di input.

  13. Per Percorso di input, inserisci quanto segue:

{"instanceid":"$.detail.resourceId"}
  1. Nella casella di testo ID istanza, inserisci quanto segue. Sostituisci l'ARN di esempio con l'ARN del tuo ruolo di Systems Manager:
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
  1. Seleziona Crea un nuovo ruolo o Usa un ruolo esistente, quindi seleziona Crea.
    Nota: Assicurati che lo stato della regola EventBridge sia Abilitato.

Per ulteriori informazioni sullo stato delle regole di AWS Config dell'organizzazione e per ottenere un elenco, consulta describe-organization-config-rule-statuses e describe-organization-config-rules.

Informazioni correlate

Come posso ricevere notifiche e-mail personalizzate quando viene creata una risorsa nel mio account AWS utilizzando AWS Configservice?

Usa le regole di AWS Config per correggere automaticamente le risorse non conformi

Tutorial: usa il trasformatore di input per personalizzare ciò che EventBridge passa al target dell'evento

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa