AWS Config 組織ルールに是正アクションを追加するにはどうすればよいですか?

所要時間2分
0

是正アクションを取ろうと思うのですが、AWS Config 組織ルールで是正アクションをサポートしていません。

簡単な説明

組織の AWS Config ルールと一致させるため、カスタムイベントパターンを Amazon EventBridge ルールで使用します。続いて、AWS Systems Manager Automation ランブックを選択してターゲットとします。

解決方法

このサンプルプロシージャでは、ランブック AWS-TerminateEC2Instance が実行されるリソースが、リソースタイプ AWS::EC2::Instance という組織ルールに準拠していません。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは準拠していないため、終了しました。

注:

  • リソースタイプは、AWS サービスと組織ルール名に固有のものを使用してください。
  • AWS CloudFormation StackSets を使用してメンバーアカウントのリソースに対する是正アクションを実行し、EventBridge ルールをランブックによって設定します。
  • AWS Systems Manager Automation ランブックを実行するための Amazon EC2 権限を確保します。

次の手順を実行します。

  1. Systems Manager Automation ロールで次のような信頼ポリシーを確保します。

    {  "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": [
              "ssm.amazonaws.com"
            ]
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
  2. EventBridge コンソールを開きます。

  3. ナビゲーションペインで、[ルール][ルールを作成] の順に選択します。

  4. [名前と説明] に、ルールの名前と説明を入力します。

  5. [パターンの定義] で、[イベントパターン] を選択します。

  6. [イベントマッチングパターン] で、[カスタムパターン] を選択します。

  7. [イベントパターン] に、次のイベントパターンサンプルを入力します。アカウントで次のようにして TestRuleExample をターゲット組織ルール名に置き換えます。

    {  "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          {
            "prefix": "OrgConfigRule-TestRuleExample-"
          }
        ],
        "resourceType": [
          "AWS::EC2::Instance"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  8. [保存] を選択します。

  9. [ターゲット] で、[SSM オートメーション] を選択します。

  10. [ドキュメント] で、[AWS-TerminateEC2Instance] を選択します。

  11. [ドキュメントバージョンの設定] を展開し、[最新] を選択します。

  12. [オートメーションパラメータの設定] を展開し、[入力トランスフォーマー] を選択します。

  13. [入力パス] には、次のように入力します。

{"instanceid":"$.detail.resourceId"}
  1. [インスタンス ID] テキストボックスには、次のように入力します。サンプル ARN は、次に示す Systems Manager ロールの ARN に置き換えます。
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
  1. [新しいロールを作成] または [既存のロールを使用] を選択し、[作成] を選択します。
    **注:**EventBridge ルールのステータスが [Enabled (有効)] になっているようにしてください。

AWS Config 組織ルールのステータスの詳細と AWS Config ルールのリストの取得については、describe-organization-config-rule-statusesdescribe-organization-config-rules を参照してください。

関連情報

リソースが AWS アカウントで AWS Config サービスによって作成された場合にカスタム E メール通知を受け取るにはどうすればよいですか?

AWS Config ルールを使用して非準拠リソースを自動修正する

チュートリアル: 入力トランスフォーマーを使用して EventBridge がイベントターゲットに渡すものをカスタマイズする

AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ