¿Cómo puedo añadir medidas de corrección a las reglas de AWS Config de la organización?

Descripción breve

Utilice un patrón de eventos personalizado con una regla de Amazon EventBridge para que coincida con la regla de AWS Config de su organización. A continuación, elija el runbook de la Automatización de AWS Systems Manager como destino.

Resolución

En el siguiente ejemplo, el runbook AWS-TerminateEC2Instance se ejecuta en recursos que no cumplen la regla de la organización con el tipo de recurso AWS::EC2::Instance. La instancia de Amazon Elastic Compute Cloud (Amazon EC2) se cancela porque no cumple la regla.

Nota:

• Puede reemplazar el tipo de recurso por el servicio específico de AWS y nombre de la regla de la organización.
• Esta configuración es solo para la cuenta de administración de AWS Organizations**.** Para llevar a cabo la medida de corrección en los recursos de sus cuentas de miembro, configure la regla de EventBridge con un runbook mediante AWS CloudFormation StackSets.

1.    Antes de empezar, asegúrese de contar con permisos de EC2 para ejecutar el runbook de la Automatización de AWS Systems Manager y una política de confianza sobre los Roles de automatización de Systems Manager similar a la siguiente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

2.    Abre la consola de EventBridge.

3.    En el panel de navegación, elija Reglas y, a continuación, seleccione Crear una regla.

4.    En Nombre y descripción, introduzca un nombre y una descripción para la regla.

5.    En Definir patrón, elija Patrón de eventos.

5.    En Evento coincidente con patrón, elija Patrón personalizado.

6.    En Patrón de eventos, copie y pegue el siguiente ejemplo de patrón de eventos y, a continuación, seleccione Guardar.

Nota: Sustituya «TestRuleExample» por el nombre de la regla de la organización de destino en su cuenta.

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      {
        "prefix": "OrgConfigRule-TestRuleExample-"
      }
    ],
    "resourceType": [
      "AWS::EC2::Instance"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

7.    Elija la lista desplegable Destino y, a continuación, seleccione Automatización de SSM.

8.    Elija la lista desplegable Documento y, a continuación, seleccione AWS-TerminateEC2Instance.

9.    Expanda Configurar versión del documento y seleccione Más reciente.

10.    Expanda Configurar parámetros de automatización y, a continuación, seleccione Transformador de entrada.

11.    En el cuadro de texto Ruta de entrada, copie y pegue lo siguiente:

{"instanceid":"$.detail.resourceId"}

12.    En el cuadro de texto ID de instancia, copie y pegue lo siguiente:

{"InstanceId":[<instanceid>],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}

Nota: Sustituya el valor del ARN AutomationAssumeRole por el ARN de su rol de SSM.

13.    Elija Crear un nuevo rol o Usar el rol existente y, a continuación, elija Crear.

Nota: Asegúrese de que el estado de la regla de EventBridge sea Habilitado.

Para obtener más información sobre el estado de las reglas de AWS Config de la organización y obtener una lista, consulte describe-organization-config-rule-statuses y describe-organization-config-rules.

Información relacionada

¿Cómo puedo recibir notificaciones personalizadas por correo electrónico al crear un recurso en mi cuenta de AWS mediante AWS Configservice?

Utilice las reglas de AWS Config para corregir automáticamente los recursos no conformes

Tutorial: utilizar el transformador de entrada para personalizar lo que se transfiere al destino del evento