Come posso aggiungere azioni correttive per le regole organizzative di AWS Config?

Breve descrizione

Usa uno schema di eventi personalizzato con una regola Amazon EventBridge che corrisponde alla tua regola AWS Config per la tua azienda. Quindi, scegli il runbook di AWS Systems Manager Automation come destinazione.

Risoluzione

Nell'esempio seguente, il runbook AWS-TerminateEC2Instance viene eseguito su risorse non conformi della regola dell'organizzazione con il tipo di risorsa AWS::EC2::Instance. L'istanza Amazon Elastic Compute Cloud (Amazon EC2) viene terminata perché non conforme.

Nota:

• Puoi sostituire il tipo di risorsa per il nome specifico del tuo servizio AWS e della regola dell'organizzazione.
• La suddetta configurazione è solo per l'account di gestione di AWS Organizations**.** Per eseguire l'azione correttiva sulle risorse dei tuoi account membri, configura la regola EventBridge con un runbook utilizzando AWS CloudFormation StackSets.

1. Prima di iniziare, assicurati di disporre delle autorizzazioni EC2 per eseguire il runbook di AWS Systems Manager Automation e una politica di fiducia di Systems Manager Automation Role simile alla seguente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

2. Apri la console EventBridge.

3. Nel riquadro di navigazione, scegli Regole, quindi scegli Crea regola.

4. In Nome e descrizione, inserisci un nome e una descrizione per la regola.

5. In Definisci modello, scegli Modello evento.

6. In Event matching pattern, Scegli Modello personalizzato.

7. In Modello evento, copia e incolla il seguente modello di evento di esempio, quindi seleziona Salva.

Nota: Sostituisci «TestRuleExample» con il nome della regola dell'azienda di destinazione nel tuo account.

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      {
        "prefix": "OrgConfigRule-TestRuleExample-"
      }
    ],
    "resourceType": [
      "AWS::EC2::Instance"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

7. Seleziona l'elenco a discesa Target quindi scegli SSM Automation.

8.    Seleziona l'elenco a discesa Documenti quindi scegli AWS-TerminateEC2Instance.

9. Espandi Configura la versione del documento e seleziona Più recente.

10. Espandi Configura parametro/i di automazione, quindi seleziona Trasformatore Input.

11. Nella casella di testo Percorso di input, copia e incolla quanto segue:

{"instanceid":"$.detail.resourceId"}

12. Nella casella di testo istanza ID copia e incolla quanto segue:

{"InstanceId":[<instanceid>],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}

Nota: Sostituisci il valore ARN di AutomationAssumeRole con il tuo ruolo SSM ARN.

13. Seleziona Crea un nuovo ruolo o Usa un ruolo esistente, quindi seleziona Crea.

Nota: Assicurati che lo stato della regola EventBridge sia Abilitato.

Per ulteriori informazioni sullo stato delle regole di AWS Config dell'organizzazione e per ottenere un elenco, consulta describe-organization-config-rule-statuses e describe-organization-config-rules.

Informazioni correlate

Come posso ricevere notifiche e-mail personalizzate quando viene creata una risorsa nel mio account AWS utilizzando AWS Configservice?

Usa le regole di AWS Config per correggere automaticamente le risorse non conformi

Tutorial: usa il trasformatore di input per personalizzare le informazioni trasmesse al target dell'evento