Quero usar ações de correção, mas a regra do AWS Config da organização não oferece suporte a ações de correção.
Breve descrição
Para combinar sua regra do AWS Config para sua organização, use um padrão de evento personalizado com uma regra do Amazon EventBridge. Em seguida, escolha o runbook do AWS Systems Manager Automation como destino.
Resolução
No exemplo a seguir, o runbook AWS-TerminateEC2Instance é executado nos recursos em não conformidade da regra da organização com o tipo de recurso AWS::EC2::Instance. A instância do Amazon Elastic Compute Cloud (Amazon EC2) é encerrada porque não está em conformidade.
Observação:
- Use um tipo de recurso específico para seu serviço da AWS e nome da regra organizacional.
- Use o AWS CloudFormation StackSets para realizar a ação de remediação nos recursos de suas contas membros e configure a regra do EventBridge com um runbook.
- Certifique-se de ter permissões do Amazon EC2 para executar o runbook de automação do AWS Systems Manager.
Conclua as seguintes etapas:
-
Verifique se você tem uma política de confiança de função do Systems Manager Automation semelhante à seguinte:
{ "Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
-
Abra o console do EventBridge.
-
No painel de navegação, escolha Regras e, em seguida, Criar regra.
-
Em Nome e descrição, insira um nome e uma descrição para a regra.
-
Em Definir padrão, escolha Padrão de evento.
-
Em Padrão de correspondência de eventos, escolha Padrão personalizado..
-
Em Padrão de evento, insira o exemplo de padrão de evento a seguir. Substitua TestRuleExample pelo nome da regra da organização de destino na sua conta:
{ "source": [
"aws.config"
],
"detail-type": [
"Config Rules Compliance Change"
],
"detail": {
"messageType": [
"ComplianceChangeNotification"
],
"configRuleName": [
{
"prefix": "OrgConfigRule-TestRuleExample-"
}
],
"resourceType": [
"AWS::EC2::Instance"
],
"newEvaluationResult": {
"complianceType": [
"NON_COMPLIANT"
]
}
}
}
-
Escolha Salvar.
-
Para Target, escolha SSM Automation.
-
Em Documento, escolha AWS-TerminateEC2Instance.
-
Expanda Configurar versão do documento e escolha Mais recente.
-
Expanda Configurar parâmetros de automação e escolha Transformador de entrada.
-
Em Caminho de entrada, digite o seguinte:
{"instanceid":"$.detail.resourceId"}
- Na caixa de texto ID da instância, insira o seguinte. Substitua o ARN de exemplo pelo ARN da sua função de Gerente de Sistemas:
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
- Escolha Criar um novo perfil ou Usar perfil existente e depois escolha Criar.
**Observação:**Certifique-se de que o status da regra do EventBridge esteja Habilitado.
Para obter mais informações sobre o status de regras do AWS Config da organização e obter uma lista de regras do AWS Config, consulte describe-organization-config-rule-statuses e describe-organization-config-rules.
Informações relacionadas
Como faço para receber notificações personalizadas por e-mail quando um recurso é criado da minha conta da AWS usando o serviço AWS Config?
Usar regras do AWS Config para corrigir automaticamente recursos em não conformidade
Tutorial: Use o transformador de entrada para personalizar o que o EventBridge passa para o destino do evento