Share Your AWS re:Post Experience - Quick 3 Question Survey

Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey.

Como uso o AWS Config para ser notificado quando um recurso da AWS não estiver em conformidade?

4 minuto de leitura

Quero criar uma regra do Amazon EventBridge que me envie uma notificação personalizada por e-mail quando os recursos da AWS não estiverem em conformidade.

Breve descrição

Para igualar a saída de uma regra de avaliação do AWS Config como NON_COMPLIANT, crie primeiro uma regra do EventBridge com um padrão de evento personalizado e um transformador de entrada. Em seguida, encaminhe a resposta do EventBridge para um tópico do Amazon Simple Notiﬁcation Service (Amazon SNS).

Resolução

No exemplo a seguir, as notificações do SNS são recebidas quando a regra gerenciada ec2-security-group-attached-to-eni relata os recursos da AWS como NON_COMPLIANT. O recurso não compatível é um grupo de segurança do Amazon Elastic Compute Cloud (Amazon EC2).

Observação: Você pode substituir o tipo de recurso e a regra do AWS Config por seu serviço específico da AWS e pelas regras do AWS Config.

Conclua as seguintes etapas:

Crie um tópico do Amazon SNS. Se você já tiver um tópico do Amazon SNS, prossiga para a próxima etapa.
Importante: o tópico do Amazon SNS deve estar na mesma região da AWS que seu serviço AWS Config.
Abra o console do EventBridge.
Selecione Regra do EventBridge e, em seguida, escolha Criar regra.
Na tela Definir detalhes da regra, em Detalhe da regra, insira as seguintes informações:
Em Nome, insira um nome para a regra.
(Opcional) Em Descrição, insira uma descrição da regra.
Em Tipo de regra, escolha Regra com um padrão de evento. Em seguida, escolha Avançar.
Em Origem do evento, escolha eventos da AWS ou eventos de parceiros do EventBridge.

Em Método de criação, escolha Padrão personalizado (editor JSON) e insira o seguinte exemplo de padrão de evento:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "ec2-security-group-attached-to-eni"
    ],
    "resourceType": [
      "AWS::EC2::SecurityGroup"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

Escolha Avançar.

Na tela Selecionar alvo(s), insira as seguintes informações:
Para Tipos de destino, escolha Serviço da AWS.
Em Selecionar um destino, escolha Tópico do SNS.
Em Tópico, escolha seu tópico do SNS.
Em Configurações adicionais, em Configurar entrada de destino, escolha Transformador de entrada.
Escolha Configurar transformador de entrada.
Em Transformador de entrada de destino, para a caixa de texto Caminho de entrada, insira o seguinte exemplo de caminho:

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

Em Modelo, insira o seguinte modelo de exemplo:

"On yourTime AWS Config rule yourRule evaluated the yourResourceType with Id yourResourceId in the account yourAWSAccountId Region yourAwsRegion as yourCompliance. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=yourAwsRegion#/timeline/yourResourceType/yourResourceId]/configuration"

Observação: No exemplo anterior, substitua yourTime, yourRule, yourResourceType, yourResourceId, yourAWSAccountId, yourAWSRegion, e yourCompliance por seus próprios valores de tempo, regra, tipo de recurso, ID de recurso, ID da conta da AWS e região da AWS, conformidade e informações de recursos, conforme exigido pelo seu caso de uso.
Selecione Confirmar.

Escolha Avançar. Em seguida, escolha Avançar.
Selecione Criar regra.

Depois que um tipo de evento é acionado, você recebe uma notificação por e-mail do SNS com os campos personalizados preenchidos.

Exemplo:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_ID in Region ExampleRegion as ExampleComplianceType. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Informações relacionadas

Como faço para ser notificado quando são feitas alterações nos registros de zona hospedada do Amazon Route 53?

Como faço para receber notificações personalizadas por e-mail quando um recurso é criado da minha conta da AWS usando o serviço AWS Config?

Como posso configurar uma regra do EventBridge para que o GuardDuty envie notificações de SNS personalizadas para tipos específicos de eventos de serviço da AWS?

Tópicos

Gestão e governança

Conteúdo relevante

A AWS emite algum documento comprovando para fins legais que a gente tá usando a infraestrutura e serviços da AWS?
Resposta aceita
Marcos Abreu
feita há um mês
Servidor não Liga
Evandro
feita há um mês
Cobrança inesperada AWS Glue
Joao
feita há 2 meses
Fiz o pagamento atrasado (12 dias) quanto tempo para liberar após o pagamento?
Alvaro
feita há 7 dias
Não consigo me logar pela conta principal
Lince Web
feita há 18 horas
Por que minha regra do AWS Config não está funcionando?
AWS OFICIALAtualizada há 4 anos
Por que meu relatório de credenciais do IAM mostra que minhas regras gerenciadas do AWS Config não estão em conformidade?
AWS OFICIALAtualizada há 5 meses
Como posso receber notificações personalizadas por e-mail quando o AWS Config é usado para criar um recurso?
AWS OFICIALAtualizada há 4 meses
Por que minha regra de tags obrigatórias do AWS Config está presa no estado “Avaliação”?
AWS OFICIALAtualizada há 10 meses