AWS Config 조직 규칙에 수정 작업을 추가하려면 어떻게 해야 하나요?

2분 분량
0

수정 작업을 사용하고 싶지만 AWS Config 조직 규칙은 수정 작업을 지원하지 않습니다.

간략한 설명

조직의 AWS Config 규칙을 일치시키려면 Amazon EventBridge 규칙과 함께 사용자 지정 이벤트 패턴을 사용하세요. 그런 다음 AWS Systems Manager Automation 런북을 대상으로 선택합니다.

해결 방법

이 예제 절차에서 런북 AWS-TerminateEC2Instance는 리소스 유형이 AWS::EC2::Instance인 조직 규칙의 비준수 리소스에서 실행됩니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 규정을 준수하지 않아 종료되었습니다.

참고:

  • AWS 서비스 및 조직 규칙 이름에 맞는 리소스 유형을 사용하세요.
  • AWS CloudFormation StackSets를 사용하여 회원 계정의 리소스에 대한 수정 작업을 수행하고 런북으로 EventBridge 규칙을 설정합니다.
  • AWS Systems Manager Automation 런북을 실행할 수 있는 Amazon EC2 권한이 있는지 확인합니다.

다음 단계를 완료합니다.

  1. 다음과 비슷한 Systems Manager Automation 역할 신뢰 정책이 있는지 확인하세요.

    {  "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": [
              "ssm.amazonaws.com"
            ]
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
  2. EventBridge 콘솔을 엽니다.

  3. 탐색 창에서 규칙을 선택한 다음 규칙 생성을 선택합니다.

  4. 이름 및 설명에 규칙의 이름과 설명을 입력합니다.

  5. 패턴 정의에서 이벤트 패턴을 선택합니다.

  6. 이벤트 매칭 패턴에서 사용자 지정 패턴을 선택합니다.

  7. 이벤트 패턴에 다음 예제 이벤트 패턴을 입력합니다. TestRuleExample을 계정의 대상 조직 규칙 이름으로 바꿉니다.

    {  "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          {
            "prefix": "OrgConfigRule-TestRuleExample-"
          }
        ],
        "resourceType": [
          "AWS::EC2::Instance"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  8. 저장을 선택합니다.

  9. 대상에서 SSM 자동화를 선택합니다.

  10. 문서에서 AWS-TerminateEC2Instance를 선택합니다.

  11. 문서 버전 구성을 확장한 다음 최신을 선택합니다.

  12. 자동화 파라미터 구성을 확장한 다음 입력 트랜스포머를 선택합니다.

  13. 입력 경로에 다음을 입력합니다.

{"instanceid":"$.detail.resourceId"}
  1. 인스턴스 ID 텍스트 상자에 다음을 입력합니다. 예제 ARN을 시스템 관리자 역할의 ARN으로 바꿉니다.
{"InstanceId":[instanceid],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
  1. 새 역할 만들기 또는 기존 역할 사용을 선택한 다음 만들기를 선택합니다.
    참고: EventBridge 규칙 상태가 활성화됨인지 확인합니다.

AWS Config 조직 규칙 상태에 대한 자세한 내용과 AWS Config 규칙 목록을 보려면 describe-organization-config-rule-statuses, describe-organization-config-rules을 참조하세요.

관련 정보

AWS Config 서비스를 사용하여 내 AWS 계정에 리소스가 생성될 때 사용자 지정 이메일 알림을 받으려면 어떻게 해야 하나요?

AWS Config 규칙을 사용하여 비준수 리소스를 자동으로 수정

튜토리얼: 입력 변환기를 사용하여 EventBridge가 이벤트 대상으로 전달하는 내용을 사용자 지정

AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음