Como posso adicionar ações de correção para regras de organização do AWS Config?

Breve descrição

Use um padrão de evento personalizado com uma regra do Amazon EventBridge para combinar corresponder a regra do AWS Config da sua organização. Em seguida, escolha o runbook do AWS Systems Manager Automation como destino.

Resolução

No exemplo a seguir, o runbook AWS-TerminateEC2Instance é executado em recursos não compatíveis da regra da organização com o tipo de recurso AWS::EC2::Instance. A instância do Amazon Elastic Compute Cloud (Amazon EC2) é encerrada porque não está em conformidade.

Observação:

• você pode substituir o tipo de recurso do nome específico da regra da organização e do serviço da AWS.
• Essa configuração é somente para a conta de gerenciamento do AWS Organizations **.**Para realizar a ação de correção nos recursos das suas contas-membro, configure a regra do EventBridge com um runbook usando o AWS CloudFormation StackSets.

1.    Antes de começar, certifique-se de ter permissões do EC2 para executar o runbook do AWS Systems Manager Automation e uma política de confiança do Systems Manager Automation Role semelhante à seguinte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

2.    Abra o console do EventBridge.

3.    No painel de navegação, escolha Regras e depois Criar regra.

4.    Em Nome e descrição, insira um nome e uma descrição para a regra.

5.    Em Definir padrão, escolha Padrão de evento.

5.    Em Padrão de correspondência de eventos, escolha Padrão personalizado.

6.    Em Padrão de evento, copie e cole o seguinte exemplo de padrão de evento e escolha Salvar.

Observação: substitua “TestRuleExample” pelo nome da regra da organização de destino na sua conta.

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      {
        "prefix": "OrgConfigRule-TestRuleExample-"
      }
    ],
    "resourceType": [
      "AWS::EC2::Instance"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

7.    Escolha a lista suspensa Destino e depois escolha SSM Automation.

8.    Escolha a lista suspensa Documento e escolha AWS-TerminateEC2Instance.

9.    Expanda Configurar versão do documento e escolha Mais recente.

10.    Expanda Configurar parâmetros de automação e escolha Transformador de entrada.

11.    Na caixa de texto Caminho de entrada, copie e cole o seguinte:

{"instanceid":"$.detail.resourceId"}

12.    Na caixa de texto ID da instância, copie e cole o seguinte:

{"InstanceId":[<instanceid>],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}

Observação: substitua o valor do ARN AutomationAssumeRole pelo ARN do perfil do SSM.

13.    Escolha Criar um novo perfil ou Usar perfil existente e depois escolha Criar.

Observação: certifique-se de que o status da regra do EventBridge esteja Habilitado.

Para obter mais informações sobre o status de regras do AWS Config da organização e obter uma lista, consulte describe-organization-config-rule-statuses e describe-organization-config-rules.

Informações relacionadas

Como posso receber notificações por e-mail personalizadas quando um recurso é criado na minha conta da AWS usando o serviço AWS Config?

Usar regras do AWS Config para corrigir automaticamente recursos não compatíveis

Tutorial: Usar o transformador de entrada para personalizar o que é passado para o evento de destino