AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

AWS Config 組織ルールの修正アクションを追加するにはどうすればよいですか?

所要時間2分
0

修正アクションを使用したいのですが、組織の AWS Config ルールが修正アクションをサポートしていません。

簡単な説明

Amazon EventBridge ルールでカスタムイベントパターンを使用して、組織の AWS Config ルールに一致させます。次に、AWS Systems Manager Automation のランブックをターゲットとして選択します。

解決方法

次の例では、ランブック AWS-TerminateEC2Instance は、リソースタイプが AWS። EC2። Instance である組織ルールの非準拠リソースで実行されます。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは準拠していないため、終了します。

注意:

  • 特定の AWS のサービスおよび組織ルール名のリソースタイプを置き換えることができます。
  • この設定は、AWS Organizations 管理アカウントにのみ適用されます**。** メンバーアカウントのリソースに対して修正アクションを実行するには、 AWS CloudFormation StackSets を使用するランブックによって EventBridge ルールを設定します 。

1.    開始する前に、AWS Systems Manager Automation を実行するための EC2 アクセス許可と、次のようなシステムマネージャーオートメーションロールの信頼ポリシーがあることを確認してください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

2.    EventBridge コンソールを開きます。

3.    ナビゲーションペインで、[Rules★]、[Create rule★] の順に選択します。

4.    [Name and description] にルールの名前と説明を入力します。

5.    [Define pattern] で [Event pattern] を選択します。

5.    [Event matching pattern] で [Custom pattern] を選択します。

6.    [Event pattern] で、次の例のイベントパターンをコピーして貼り付け、[Save] を選択します。

注意:「TestRuleExample」は、アカウントのターゲット組織ルール名に置き換えます。

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      {
        "prefix": "OrgConfigRule-TestRuleExample-"
      }
    ],
    "resourceType": [
      "AWS::EC2::Instance"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

7.    [Target] ドロップダウンリストを選択し、[SSM Automation] を選択します。

8.    [Document] ドロップダウンリストを選択し、[AWS-TerminateEC2Instance] を選択します。

9.    [Configure document version] を展開し、[Latest] を選択します。

10.    [Configure automation parameter(s)] を展開し、[Input Transformer] を選択します。

11.    [Input Path] テキストボックスに、以下をコピーして貼り付けます。

{"instanceid":"$.detail.resourceId"}

12.    [Instance ID text] テキストボックスに、以下をコピーして貼り付けます。

{"InstanceId":[<instanceid>],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}

注意: AutomationAssumeRole ARN の値を SSM ロール ARN に置き換えます。

13.    [Create a new role] または [Use existing role] を選択し、[Create] を選択します。

注意: EventBridge ルールのステータスが [Enabled] になっていることを確認してください。

組織の AWS Config ルールのステータスの詳細およびリストの取得については、「describe-organization-config-rule-statuses」および「describe-organization-config-rules」を参照してください。

関連情報

AWS Config サービスを使用して AWS アカウントでリソースが作成されたときに、カスタム E メール通知を受け取るにはどうすればよいですか?

AWS Config ルールを使用してコンプライアンス違反のリソースを自動的に修正する

チュートリアル: イベントターゲットに渡されるものを Input Transformer を使用してカスタマイズする

トピック
管理とガバナンス
タグ
AWS Config
言語
日本語

関連ビデオ

詳細については、Akash の動画をご覧ください (4:33)
詳細については、Akash の動画をご覧ください (4:33)
AWS公式
AWS公式更新しました 3年前
コメントはありません

関連するコンテンツ