¿Cómo puedo recibir notificaciones cuando un recurso de AWS no cumple con los requisitos mediante AWS Config?

4 minutos de lectura
0

He creado una regla de Amazon EventBridge para activar notificaciones cuando los recursos de AWS no cumplen con los requisitos, pero las respuestas están en formato JSON. ¿Cómo puedo recibir un correo electrónico con una notificación personalizada?

Breve descripción

Utilice una regla de EventBridgecon un patrón de eventos personalizado y un transformador de entrada para que coincida con la salida de una regla de evaluación de AWS Config como NON_COMPLIANT. A continuación, dirija la respuesta a un tema de Amazon Simple Notification Service (Amazon SNS).

Resolución

En el siguiente ejemplo, se reciben notificaciones de SNS cuando la regla gestionada ec2-security-group-attached-to-eni informa que los recursos de AWS no cumplen con los requisitos de un grupo de seguridad de Amazon Elastic Compute Cloud (Amazon EC2).

Nota: Puede reemplazar el tipo de recurso y la regla de AWS Config para su servicio de AWS específico y las reglas de AWS Config.

1.    Si aún no ha creado un tema de Amazon SNS, siga las instrucciones de Introducción a Amazon SNS.

Importante: El tema de Amazon SNS debe estar en la misma región que su servicio AWS Config.

2.    Abra la consola de EventBridge.

3.    Elija Crear regla.

4.    Nombre, introduzca un nombre para la regla. Si es necesario, introduzca una descripción.

5.    En Tipo de regla, elija Regla con un patrón de eventos. A continuación, seleccioneSiguiente.

6.    En Origen del evento, elija Eventos de AWS o eventos de socios de EventBridge.

7.    En el panel Patrones de eventos, elija Patrones personalizados (editor JSON) y, a continuación, copie y pegue el siguiente ejemplo de patrón de eventos:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "ec2-security-group-attached-to-eni"
    ],
    "resourceType": [
      "AWS::EC2::SecurityGroup"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

8.    Elija Siguiente.

9.    Para los Tipos de destino, seleccione Servicio de AWS.

10.    En Seleccione un destino, elija Tema SNS.

11.    En Tema, seleccione su tema de SNS.

12.    Amplíe Ajustes adicionales. A continuación, en Configurar la entrada de destino, elija Transformador de entrada.

  1. Elija Configurar transformador de entrada. En Transformador de entrada de destino, para el cuadro de texto Ruta de entrada, copie y pegue el siguiente ejemplo de ruta:
{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

14.    En el cuadro de texto Plantilla, copie y pegue la siguiente plantilla de ejemplo. Introduzca la hora, la regla, el tipo de recurso, el ID del recurso, el ID de la cuenta de AWS y la región de AWS, el cumplimiento y la información de los recursos, según lo requiera su caso de uso.

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance> For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration"

15.    Elija Confirmar. A continuación, seleccioneSiguiente.

16.    Si lo desea, puede añadir una etiqueta nueva. A continuación, seleccioneSiguiente.

17.    Elija Crear regla.

18.    Cuando se active un tipo de evento, recibirá una notificación por correo electrónico de SNS con los campos personalizados rellenados a partir del paso 13, de forma similar a la siguiente:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Información relacionada

How can I be notified when changes are made to Route 53 hosted zone records?

How can I receive custom email notifications when a resource is created in my AWS account using AWS Config service?

¿Cómo puedo configurar una regla de EventBridge para que GuardDuty envíe notificaciones de SNS personalizadas si se activan tipos específicos de eventos de servicios de AWS?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año