Como posso adicionar ações de correção para regras de organização do AWS Config?

3 minuto de leitura
0

Quero usar ações de correção, mas a regra do AWS Config da organização não oferece suporte a ações de correção.

Breve descrição

Para combinar sua regra do AWS Config para sua organização, use um padrão de evento personalizado com uma regra do Amazon EventBridge. Em seguida, escolha o runbook do AWS Systems Manager Automation como destino.

Resolução

No exemplo a seguir, o runbook AWS-TerminateEC2Instance é executado nos recursos em não conformidade da regra da organização com o tipo de recurso AWS::EC2::Instance. A instância do Amazon Elastic Compute Cloud (Amazon EC2) é encerrada porque não está em conformidade.

Observação:

  • Use um tipo de recurso específico para seu serviço da AWS e nome da regra organizacional.
  • Use o AWS CloudFormation StackSets para realizar a ação de remediação nos recursos de suas contas membros e configure a regra do EventBridge com um runbook.
  • Certifique-se de ter permissões do Amazon EC2 para executar o runbook de automação do AWS Systems Manager.

Conclua as seguintes etapas:

  1. Verifique se você tem uma política de confiança de função do Systems Manager Automation semelhante à seguinte:

    {  "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": [
              "ssm.amazonaws.com"
            ]
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
  2. Abra o console do EventBridge.

  3. No painel de navegação, escolha Regras e, em seguida, Criar regra.

  4. Em Nome e descrição, insira um nome e uma descrição para a regra.

  5. Em Definir padrão, escolha Padrão de evento.

  6. Em Padrão de correspondência de eventos, escolha Padrão personalizado..

  7. Em Padrão de evento, insira o exemplo de padrão de evento a seguir. Substitua TestRuleExample pelo nome da regra da organização de destino na sua conta:

    {  "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          {
            "prefix": "OrgConfigRule-TestRuleExample-"
          }
        ],
        "resourceType": [
          "AWS::EC2::Instance"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  8. Escolha Salvar.

  9. Para Target, escolha SSM Automation.

  10. Em Documento, escolha AWS-TerminateEC2Instance.

  11. Expanda Configurar versão do documento e escolha Mais recente.

  12. Expanda Configurar parâmetros de automação e escolha Transformador de entrada.

  13. Em Caminho de entrada, digite o seguinte:

{"instanceid":"$.detail.resourceId"}
  1. Na caixa de texto ID da instância, insira o seguinte. Substitua o ARN de exemplo pelo ARN da sua função de Gerente de Sistemas:
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
  1. Escolha Criar um novo perfil ou Usar perfil existente e depois escolha Criar.
    **Observação:**Certifique-se de que o status da regra do EventBridge esteja Habilitado.

Para obter mais informações sobre o status de regras do AWS Config da organização e obter uma lista de regras do AWS Config, consulte describe-organization-config-rule-statuses e describe-organization-config-rules.

Informações relacionadas

Como faço para receber notificações personalizadas por e-mail quando um recurso é criado da minha conta da AWS usando o serviço AWS Config?

Usar regras do AWS Config para corrigir automaticamente recursos em não conformidade

Tutorial: Use o transformador de entrada para personalizar o que o EventBridge passa para o destino do evento

AWS OFICIAL
AWS OFICIALAtualizada há um ano