是正アクションを取ろうと思うのですが、AWS Config 組織ルールで是正アクションをサポートしていません。
簡単な説明
組織の AWS Config ルールと一致させるため、カスタムイベントパターンを Amazon EventBridge ルールで使用します。続いて、AWS Systems Manager Automation ランブックを選択してターゲットとします。
解決方法
このサンプルプロシージャでは、ランブック AWS-TerminateEC2Instance が実行されるリソースが、リソースタイプ AWS::EC2::Instance という組織ルールに準拠していません。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは準拠していないため、終了しました。
注:
- リソースタイプは、AWS サービスと組織ルール名に固有のものを使用してください。
- AWS CloudFormation StackSets を使用してメンバーアカウントのリソースに対する是正アクションを実行し、EventBridge ルールをランブックによって設定します。
- AWS Systems Manager Automation ランブックを実行するための Amazon EC2 権限を確保します。
次の手順を実行します。
-
Systems Manager Automation ロールで次のような信頼ポリシーを確保します。
{ "Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
-
EventBridge コンソールを開きます。
-
ナビゲーションペインで、[ルール]、[ルールを作成] の順に選択します。
-
[名前と説明] に、ルールの名前と説明を入力します。
-
[パターンの定義] で、[イベントパターン] を選択します。
-
[イベントマッチングパターン] で、[カスタムパターン] を選択します。
-
[イベントパターン] に、次のイベントパターンサンプルを入力します。アカウントで次のようにして TestRuleExample をターゲット組織ルール名に置き換えます。
{ "source": [
"aws.config"
],
"detail-type": [
"Config Rules Compliance Change"
],
"detail": {
"messageType": [
"ComplianceChangeNotification"
],
"configRuleName": [
{
"prefix": "OrgConfigRule-TestRuleExample-"
}
],
"resourceType": [
"AWS::EC2::Instance"
],
"newEvaluationResult": {
"complianceType": [
"NON_COMPLIANT"
]
}
}
}
-
[保存] を選択します。
-
[ターゲット] で、[SSM オートメーション] を選択します。
-
[ドキュメント] で、[AWS-TerminateEC2Instance] を選択します。
-
[ドキュメントバージョンの設定] を展開し、[最新] を選択します。
-
[オートメーションパラメータの設定] を展開し、[入力トランスフォーマー] を選択します。
-
[入力パス] には、次のように入力します。
{"instanceid":"$.detail.resourceId"}
- [インスタンス ID] テキストボックスには、次のように入力します。サンプル ARN は、次に示す Systems Manager ロールの ARN に置き換えます。
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
- [新しいロールを作成] または [既存のロールを使用] を選択し、[作成] を選択します。
**注:**EventBridge ルールのステータスが [Enabled (有効)] になっているようにしてください。
AWS Config 組織ルールのステータスの詳細と AWS Config ルールのリストの取得については、describe-organization-config-rule-statuses と describe-organization-config-rules を参照してください。
関連情報
リソースが AWS アカウントで AWS Config サービスによって作成された場合にカスタム E メール通知を受け取るにはどうすればよいですか?
AWS Config ルールを使用して非準拠リソースを自動修正する
チュートリアル: 入力トランスフォーマーを使用して EventBridge がイベントターゲットに渡すものをカスタマイズする