Como faço para ser notificado quando um recurso da AWS não está em conformidade usando o AWS Config?

4 minuto de leitura

Eu criei uma regra do Amazon EventBridge para acionar notificações quando os recursos da AWS não estiverem em conformidade, mas as respostas estiverem no formato JSON. Como posso receber um e-mail com uma notificação personalizada?

Breve descrição

Use uma regra do EventBridge com um padrão de evento personalizado e um transformador de entrada para igualar a saída de uma regra de avaliação do AWS Config como NON_COMPLIANT. Em seguida, encaminhe a resposta para um tópico do Amazon Simple Notification Service (Amazon SNS).

Resolução

No exemplo a seguir, as notificações do SNS são recebidas quando a regra gerenciada ec2-security-group-attached-to-eni relata que os recursos da AWS não estão em conformidade com um grupo de segurança do Amazon Elastic Compute Cloud (Amazon EC2).

Observação: você pode substituir o tipo de recurso e a regra do AWS Config por seu serviço específico da AWS e pelas regras do AWS Config.

1. Se você ainda não criou um tópico do Amazon SNS, siga as instruções para Começar a usar o Amazon SNS.

Importante: o tópico do Amazon SNS deve estar na mesma região do seu serviço AWS Config.

2. Abra o console do EventBridge.

3. Escolha Create rule (Criar regra).

4. Nome, insira um nome para sua regra. Se necessário, insira uma Descrição.

5. Em Tipo de regra, escolha Regra com um padrão de evento. Em seguida, escolha Next (Avançar).

6. Para Event source (Origem do evento), escolha eventos da AWS ou eventos de parceiros do EventBridge.

7. No painel Padrão de evento, escolha Padrões personalizados (editor JSON) e, em seguida, copie e cole o seguinte exemplo de padrão de evento:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "ec2-security-group-attached-to-eni"
    ],
    "resourceType": [
      "AWS::EC2::SecurityGroup"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

8. Escolha Next (Avançar).

9. Para Target types (Tipos de destino), selecione AWS service (Serviço da AWS).

10. Em Select a target (Selecionar um destino), escolha SNS topic (Tópico do SNS).

11. Em Topic (Tópico), escolha seu tópico do SNS.

12. Expanda Additional settings (Configurações adicionais). Em seguida, para Configure target input (Configurar entrada de destino), escolha Input transformer (Transformador de entrada).

Escolha Configure input transformer (Configurar transformador de entrada). Em Transformador de entrada de destino, na caixa de texto Caminho de entrada, copie e cole o seguinte exemplo de caminho:

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

14. Na caixa de texto Modelo, copie e cole o modelo de exemplo a seguir. Insira a hora, a regra, o tipo de recurso, o ID do recurso, o ID da conta da AWS e a região da AWS, a conformidade e as informações do recurso, conforme exigido pelo seu caso de uso.

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance> For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration"

15. Escolha Confirm (Confirmar). Em seguida, escolha Next (Avançar).

16. Opcionalmente, você pode Add new tag (Adicionar uma nova tag). Em seguida, escolha Next (Avançar).

17. Escolha Create rule (Criar regra).

18. Depois que um tipo de evento é acionado, você recebe uma notificação por e-mail do SNS com os campos personalizados preenchidos a partir da etapa 13, semelhante aos seguintes:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Informações relacionadas

Como posso ser notificado quando são feitas alterações nos registros de zona hospedada do Route 53?

Como faço para receber notificações personalizadas por e-mail quando um recurso é criado da minha conta da AWS usando o serviço AWS Config?

Como posso configurar uma regra do EventBridge para que o GuardDuty envie notificações de SNS personalizadas se tipos específicos de eventos de serviço da AWS forem acionados?

Tópicos

Gestão e governança

Conteúdo relevante

Como faço para receber notificações personalizadas por e-mail quando um recurso é criado da minha conta da AWS usando o serviço AWS Config?
AWS OFICIALAtualizada há 2 anos
Como faço para receber notificações personalizadas por e-mail quando um recurso é excluído da minha conta da AWS usando o serviço AWS Config?
AWS OFICIALAtualizada há 3 anos
Por que minha regra do AWS Config não está funcionando?
AWS OFICIALAtualizada há 3 anos
Por que meu relatório de credenciais do IAM mostra que minhas regras gerenciadas do AWS Config não estão em conformidade?
AWS OFICIALAtualizada há um ano