Come posso utilizzare AWS Config per ricevere una notifica quando una risorsa AWS non è conforme?

4 minuti di lettura
0

Desidero creare una regola Amazon EventBridge che mi consenta di ricevere una notifica e-mail personalizzata quando le risorse AWS non sono conformi.

Breve descrizione

Per far corrispondere l'output di una regola di valutazione di AWS Config come NON\ _COMPLIANT, crea innanzitutto una regola EventBridge con un modello di eventi personalizzato e un trasformatore di input. Quindi, instrada la risposta da EventBridge a un topic Amazon Simple Notification Service (Amazon SNS).

Risoluzione

Nell'esempio seguente, le notifiche SNS vengono ricevute quando la regola gestita ec2-security-group-attached-to-eni segnala le risorse AWS come NON_COMPLIANT. La risorsa non conforme è un gruppo di sicurezza Amazon Elastic Compute Cloud (Amazon EC2).

Nota: puoi sostituire il tipo di risorsa e la regola di AWS Config per il tuo servizio AWS specifico e le regole di AWS Config.

Completa i seguenti passaggi:

  1. Crea un topic Amazon SNS. Se hai già un topic Amazon SNS esistente, vai al passaggio successivo.
    Importante: il topic Amazon SNS deve trovarsi nella stessa regione del servizio AWS Config.

  2. Apri la console EventBridge.

  3. Seleziona Regola EventBridge, quindi scegli Crea regola.

  4. Nella schermata Definisci i dettagli della regola, in Dettagli regola, inserisci le seguenti informazioni:
    In Nome, inserisci un nome per la tua regola.
    (Facoltativo) In Descrizione, inserisci una descrizione del ruolo.
    Per Tipo di regola, scegli Regola con un modello di eventi. Quindi, scegli Avanti.

  5. Per Origine evento, scegli Eventi AWS o eventi partner EventBridge.

  6. In Metodo di creazione, scegli Modello personalizzato (editor JSON), quindi inserisci il seguente modello di evento di esempio:

    {
      "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          "ec2-security-group-attached-to-eni"
        ],
        "resourceType": [
          "AWS::EC2::SecurityGroup"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  7. Scegli Avanti.

  8. Nella schermata Seleziona destinazioni, inserisci le seguenti informazioni:
    Per Tipi di destinazione, scegli Servizio AWS.
    Per Seleziona una destinazione, scegli Argomento SNS.
    Per Argomento, scegli il tuo topic SNS.
    In Impostazioni aggiuntive, per Configura l'input di destinazione, scegli Trasformatore di input.
    Scegli Configura il trasformatore di input.
    Quindi, in Trasformatore di input di destinazione per la casella di testo Percorso di input, inserisci il seguente percorso di esempio:

    {
      "awsRegion": "$.detail.awsRegion",
      "resourceId": "$.detail.resourceId",
      "awsAccountId": "$.detail.awsAccountId",
      "compliance": "$.detail.newEvaluationResult.complianceType",
      "rule": "$.detail.configRuleName",
      "time": "$.detail.newEvaluationResult.resultRecordedTime",
      "resourceType": "$.detail.resourceType"
    }

    Per Modello, inserisci il seguente modello di esempio:

    "On yourTime AWS Config rule yourRule evaluated the yourResourceType with Id yourResourceId in the account yourAWSAccountId Region yourAwsRegion as yourCompliance. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=yourAwsRegion#/timeline/yourResourceType/yourResourceId]/configuration"

    Nota: nell'esempio precedente, sostituisci yourTime, yourRule, yourResourceType, yourResourceId, yourAWSAccountId, yourAWSRegion e yourCompliance con i tuoi valori di tempo, regola, tipo di risorsa, ID risorsa, ID account AWS e regione AWS, conformità e informazioni sulle risorse come richiesto dal tuo caso d'uso.
    Scegli Conferma.

  9. Scegli Avanti. Quindi, scegli Avanti.

  10. Seleziona Crea regola.

Dopo l'attivazione di un tipo di evento, riceverai una notifica e-mail SNS con i campi personalizzati compilati.

Esempio:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_ID in Region ExampleRegion as ExampleComplianceType. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Informazioni correlate

Come posso ricevere una notifica quando vengono apportate modifiche ai record della zona ospitata di Route 53?

Come posso ricevere notifiche e-mail personalizzate quando viene creata una risorsa nel mio account AWS utilizzando il servizio AWS Config?

In che modo è possibile configurare una regola EventBridge per GuardDuty per l'invio di notifiche SNS personalizzate se vengono attivati tipi di eventi del servizio AWS specifici?

AWS UFFICIALE
AWS UFFICIALEAggiornata 3 mesi fa