Wie kann ich Korrekturmaßnahmen zu den Organisationsregeln von AWS Config hinzufügen?

Kurzbeschreibung

Verwenden Sie ein benutzerdefiniertes Ereignismuster mit einer Amazon EventBridge-Regel, die Ihrer AWS Config-Regel für Ihre Organisation entspricht. Wählen Sie anschließend das AWS Systems Manager Automation-Runbook als Ziel aus.

Lösung

Im folgenden Beispiel wird das Runbook AWS-TerminateEC2Instance auf nicht konformen Ressourcen aus der Organisationsregel mit dem Ressourcentyp AWS::EC2::Instance ausgeführt. Die Amazon Elastic Compute Cloud (Amazon EC2)-Instance wurde beendet, weil sie nicht konform ist.

Hinweis:

• Sie können den Ressourcentyp durch Ihren spezifischen AWS-Service- und Organisationsregelnamen ersetzen.
• Diese Einrichtung ist nur für das Verwaltungskonto von AWS Organizations vorgesehen . Um die Korrekturmaßnahme für die Ressourcen Ihrer Mitgliedskonten durchzuführen, richten Sie mithilfe von AWS CloudFormation StackSets die EventBridge-Regel mit einem Runbook ein.

1.Bevor Sie beginnen, stellen Sie sicher, dass Sie über EC2-Berechtigungen zur Ausführung des AWS Systems Manager Automation-Runbooks sowie über eine Vertrauensrichtlinie für die Systems Manager Automation-Rolle verfügen, die der folgenden ähnelt:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

2.Öffnen Sie die EventBridge-Konsole.

3.Wählen Sie im Navigationsbereich Regeln und dann Regel erstellen aus.

4.Geben Sie im Feld Name und Beschreibung einen Namen und eine Beschreibung für die Regel ein.

5.Wählen Sie unter Muster definieren die Option Ereignismuster aus.

5.Wählen Sie unter Ereignis-Abgleichsmuster die Option Benutzerdefiniertes Muster aus.

6.Kopieren Sie unter Ereignismuster das folgende Beispielereignismuster, fügen Sie es ein und wählen Sie anschließend Speichern aus.

Hinweis: Ersetzen Sie „TestRuleExample“ durch den Regelnamen der Zielorganisation in Ihrem Konto.

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      {
        "prefix": "OrgConfigRule-TestRuleExample-"
      }
    ],
    "resourceType": [
      "AWS::EC2::Instance"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

7.Wählen Sie die Dropdownliste Ziel und anschließend SSM Automation aus.

8. Wählen Sie die Dropdownliste Dokument und anschließend AWS-TerminateEC2Instance aus.

9.Erweitern Sie Dokumentversion konfigurieren und wählen Sie Neueste aus.

10.Erweitern Sie Automatisierungsparameter konfigurieren und wählen Sie anschließend Eingangstransformator aus.

11.Kopieren Sie im Textfeld Eingabepfad Folgendes und fügen Sie es ein:

{"instanceid":"$.detail.resourceId"}

12.Kopieren Sie im Textfeld Instance-ID Folgendes und fügen Sie es ein:

{"InstanceId":[<instanceid>],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}

Hinweis: Ersetzen Sie den ARN-Wert AutomationAssumeRole durch Ihren SSM-Rollen-ARN.

13.Wählen Sie entweder Neue Rolle erstellen oder Bestehende Rolle verwenden und anschließend Erstellen aus.

Hinweis: Vergewissern Sie sich, dass der EventBridge-Regelstatus Aktiviert ist.

Weitere Informationen zum Status von AWS Config-Regeln der Organisation sowie eine Aufstellung finden Sie unter describe-organization-config-rule-statuses und describe-organization-config-rules.

Ähnliche Informationen

Wie kann ich benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn mit AWS Configservice eine Ressource in meinem AWS-Konto erstellt wird?

Verwenden Sie AWS Config-Regeln, um nicht konforme Ressourcen automatisch zu reparieren

Tutorial: Verwendung des Input-Transformers zur Anpassung der Daten, die an das Ereignisziel übergeben werden