¿Cómo puedo añadir medidas de corrección a las reglas de AWS Config de la organización?

3 minutos de lectura
0

Quiero usar medidas de corrección, pero la regla de AWS Config de la organización no las admite.

Breve descripción

Utilice un patrón de eventos personalizado con una regla de Amazon EventBridge para que coincida con la regla de AWS Config de su organización. A continuación, elija el runbook de la Automatización de AWS Systems Manager como destino.

Resolución

En el siguiente ejemplo, el runbook AWS-TerminateEC2Instance se ejecuta en recursos que no cumplen la regla de la organización con el tipo de recurso AWS::EC2::Instance. La instancia de Amazon Elastic Compute Cloud (Amazon EC2) se cancela porque no cumple la regla.

Nota:

  • Puede reemplazar el tipo de recurso por el servicio específico de AWS y nombre de la regla de la organización.
  • Utilice AWS CloudFormation StackSets para llevar a cabo la medida de corrección en los recursos de sus cuentas de miembro y configure la regla de EventBridge con un runbook.
  • Asegúrese de tener los permisos de Amazon EC2 para ejecutar el runbook de AWS Systems Manager Automation.

Siga estos pasos:

  1. Asegúrese de tener una política de confianza de roles de Systems Manager Automation similar a la siguiente:

    {  "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": [
              "ssm.amazonaws.com"
            ]
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
  2. Abra la consola de EventBridge.

  3. En el panel de navegación, elija Reglas y, a continuación, seleccione Crear una regla.

  4. En Nombre y descripción, introduzca un nombre y una descripción para la regla.

  5. En Definir patrón, elija Patrón de eventos.

  6. En Evento coincidente con patrón, elija Patrón personalizado.

  7. En Patrón de eventos, introduzca el siguiente ejemplo de patrón de eventos. Sustituya TestRuleExample por el nombre de la regla de la organización de destino en su cuenta:

    {  "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          {
            "prefix": "OrgConfigRule-TestRuleExample-"
          }
        ],
        "resourceType": [
          "AWS::EC2::Instance"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  8. Seleccione Guardar.

  9. En Destino, elija Automatización de SSM.

  10. En Documento, elija AWS-TerminateEC2Instance.

  11. Expanda Configurar la versión del documento y, a continuación, seleccione Más reciente.

  12. Expanda Configurar parámetros de automatización y, a continuación, seleccione Transformador de entrada.

  13. En Ruta de entrada, introduzca lo siguiente:

{"instanceid":"$.detail.resourceId"}
  1. En el cuadro de texto ID de instancia, introduzca lo siguiente: Sustituya el ARN de ejemplo por el ARN de su rol de Systems Manager:
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
  1. Elija Crear un nuevo rol o Usar el rol existente y, a continuación, elija Crear.
    Nota: Asegúrese de que el estado de la regla de EventBridge sea Habilitado.

Para obtener más información sobre el estado de las reglas de AWS Config de la organización y obtener una lista de las reglas de AWS Config, consulte describe-organization-config-rule-statuses y describe-organization-config-rules.

Información relacionada

¿Cómo puedo recibir notificaciones personalizadas por correo electrónico cuando se crea un recurso en mi cuenta de AWS mediante el servicio AWS Config?

Utilice las reglas de AWS Config para corregir automáticamente los recursos no conformes

Tutorial: Use input transformer to customize what EventBridge passes to the event target

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 9 meses