AWS Config 조직 규칙에 대한 수정 작업을 추가하려면 어떻게 해야 합니까?

3분 분량
0

수정 작업을 사용하고 싶지만 조직 AWS Config 규칙은 수정 작업을 지원하지 않습니다.

간략한 설명

Amazon EventBridge 규칙과 함께 사용자 지정 이벤트 패턴을 사용하여 조직의 AWS Config 규칙을 일치시킵니다. 그런 다음 AWS Systems Manager Automation 런북을 대상으로 선택합니다.

해결 방법

다음 예에서 런북 AWS-TerminateEC2Instance는 조직 규칙에서 리소스 유형이 AWS::EC2::Instance인 비준수 리소스에 대해 실행됩니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스는 규정을 준수하지 않으므로 종료됩니다.

참고:

  • 특정 AWS 서비스 및 조직 규칙 이름의 리소스 유형을 바꿀 수 있습니다.
  • 이 설정은 AWS Organizations 관리 계정에만 적용됩니다**.** 멤버 계정의 리소스에 대한 수정 작업을 수행하려면 AWS CloudFormation StackSets를 사용하여 런북으로 EventBridge 규칙을 설정합니다.

1.    시작하기 전에 다음과 유사한 AWS Systems Manager Automation 런북 및 Systems Manager Automation Role 신뢰 정책을 실행할 수 있는 EC2 권한이 있는지 확인하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

2.    [EventBridge 콘솔]을 엽니다.

3.    탐색 창에서 [Rules]를 선택하고 [Create rule]을 선택합니다.

4.    [이름 및 설명(Name and description)]에 규칙의 이름과 설명을 입력합니다.

5.    [패턴 정의(Define pattern)]에서 [이벤트 패턴(Event pattern)]을 선택합니다.

5.    [이벤트 일치 패턴(Event matching pattern)]에서 [사용자 지정 패턴(Custom pattern)]을 선택합니다.

6.    [이벤트 패턴(Event pattern)]에서 다음 예제 이벤트 패턴을 복사하여 붙여넣은 다음 [저장(Save)]을 선택합니다.

참고: “TestRuleExample”을 계정의 대상 조직 규칙 이름으로 바꿉니다.

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      {
        "prefix": "OrgConfigRule-TestRuleExample-"
      }
    ],
    "resourceType": [
      "AWS::EC2::Instance"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

7.    [대상(Target)] 드롭다운 목록을 선택한 다음 [SSM 자동화(SSM Automation)]를 선택합니다.

8.    [문서(Document)] 드롭다운 목록을 선택한 다음 [AWS-TerminateEC2Instance]를 선택합니다.

9.    [문서 버전 구성(Configure document version)]을 확장하고 [최신(Latest)]을 선택합니다.

10.    [자동화 파라미터 구성(Configure automation parameter(s))]을 확장한 다음 [입력 변압기(Input Transformer)]를 선택합니다.

11.    [입력 경로(Input Path)] 텍스트 상자에 다음을 복사하여 붙여 넣습니다.

{"instanceid":"$.detail.resourceId"}

12.    [인스턴스 ID 텍스트(Instance ID text)] 상자에서 다음을 복사하여 붙여 넣습니다.

{"InstanceId":[<instanceid>],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}

참고: AutomationAssumeRole ARN 값을 SSM 역할 ARN으로 바꿉니다.

13.    [새 역할 만들기(Create a new role)] 또는 [기존 역할 사용(Use existing role)]을 선택한 다음 [만들기(Create)]를 선택합니다.

참고: EventBridge 규칙 상태가 [활성화됨(Enabled)]이어야 합니다.

조직 AWS Config 규칙 상태에 대한 자세한 내용과 목록을 보려면 describe-organization-config-rule-statusesdescribe-organization-config-rules를 참조하세요.


관련 정보

AWS Config 서비스를 사용하여 AWS 계정에 리소스가 생성될 때 사용자 지정 이메일 알림을 받으려면 어떻게 해야 합니까?

AWS Config 규칙을 사용하여 비준수 리소스 자동 개선

자습서: 입력 변환기를 사용하여 이벤트 대상으로 전달되는 항목 사용자 지정

AWS 공식
AWS 공식업데이트됨 3년 전