Wie kann ich benachrichtigt werden, wenn eine AWS-Ressource bei der Verwendung von AWS Config nicht konform ist?

Lesedauer: 3 Minute
0

Ich habe eine Amazon EventBridge-Regel erstellt, um Benachrichtigungen auszulösen, wenn AWS-Ressourcen nicht konform sind, aber die Antworten im JSON-Format sind. Wie kann ich eine E-Mail mit einer individuellen Benachrichtigung erhalten?

Kurzbeschreibung

Verwenden Sie eine EventBridge-Regel mit einem benutzerdefinierten Ereignismuster und einem Eingabetransformator, um einer Ausgabe einer AWS Config-Evaluierungsregel den Wert NON\ _COMPLIANT zuzuordnen. Dann leiten Sie die Antwort an ein Amazon Simple Notification Service (Amazon SNS)-Thema weiter.

Behebung

Im folgenden Beispiel werden SNS-Benachrichtigungen empfangen, wenn die verwaltete Regel ec2-security-group-attached-to-eni AWS-Ressourcen für eine Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppe als NICHT\ _KONFORM meldet.

Hinweis: Sie können den Ressourcentyp und die Regel von AWS Config für Ihren spezifischen AWS-Service und die AWS Config-Regeln ersetzen.

1.Wenn Sie noch kein Amazon SNS-Thema erstellt haben, folgen Sie den Anweisungen unter Erste Schritte mit Amazon SNS.

**Wichtig:**Das Amazon SNS-Thema muss sich in derselben Region wie Ihr AWS Config-Service befinden.

2.Öffnen Sie die EventBridge-Konsole.

3.Wählen Sie Regel erstellen aus.

4.Name, geben Sie einen Namen für Ihre Regel ein. Geben Sie bei Bedarf eine Beschreibung ein.

5.Wählen Sie als Regeltyp Regel mit einem Ereignismuster aus. Wählen Sie dann Weiter.

6.Wählen Sie als Ereignisquelle AWS-Ereignisse oder EventBridge-Partnerereignisse aus.

7.Wählen Sie im Bereich Ereignismuster die Option Benutzerdefinierte Muster (JSON-Editor) aus, kopieren Sie dann das folgende Beispielereignismuster und fügen Sie es ein:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "ec2-security-group-attached-to-eni"
    ],
    "resourceType": [
      "AWS::EC2::SecurityGroup"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

8.Wählen Sie Weiter aus.

9.Wählen Sie für Zieltypen AWS-Service aus.

10.Wählen Sie unter Ziel auswählen die Option SNS-Thema aus.

11.Wählen Sie unter Thema Ihr SNS-Thema aus.

12.Erweitern Sie Zusätzliche Einstellungen. Wählen Sie dann unter Zieleingang konfigurieren die Option Eingangstransformator aus.

  1. Wählen Sie Eingangstransformator konfigurieren. Kopieren Sie unter Zieleingabetransformator für das Textfeld Eingabepfad den folgenden Beispielpfad und fügen Sie ihn ein:
{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

14.Kopieren Sie die folgende Beispielvorlage und fügen Sie sie in das Textfeld Vorlage ein. Geben Sie die Uhrzeit, die Regel, den Ressourcentyp, die Ressourcen-ID, die AWS-Konto-ID und die AWS-Region, die Konformität und die Ressourceninformationen ein, wie es für Ihren Anwendungsfall erforderlich ist.

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance> For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration"

15.Wählen Sie Bestätigen aus. Wählen Sie dann Weiter.

16.Optional können Sie ein neues Tag hinzufügen. Wählen Sie dann Weiter.

17.Wählen Sie Regel erstellen aus.

18.Nachdem ein Ereignistyp ausgelöst wurde, erhalten Sie eine SNS-E-Mail-Benachrichtigung, in der die benutzerdefinierten Felder aus Schritt 13 ausgefüllt werden, ähnlich wie im Folgenden:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Verwandte Informationen

Wie kann ich benachrichtigt werden, wenn Änderungen an den Aufzeichnungen der Route 53-gehosteten Zone vorgenommen werden?

Wie kann ich benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn mit dem AWS Config-Service eine Ressource in meinem AWS-Konto erstellt wird?

Wie kann ich eine EventBridge-Regel für GuardDuty konfigurieren, um benutzerdefinierte SNS-Benachrichtigungen zu senden, wenn bestimmte AWS-Serviceereignisarten ausgelöst werden?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr