修正アクションを使用したいのですが、組織の AWS Config ルールが修正アクションをサポートしていません。
簡単な説明
Amazon EventBridge ルールでカスタムイベントパターンを使用して、組織の AWS Config ルールに一致させます。次に、AWS Systems Manager Automation のランブックをターゲットとして選択します。
解決方法
次の例では、ランブック AWS-TerminateEC2Instance は、リソースタイプが AWS። EC2። Instance である組織ルールの非準拠リソースで実行されます。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは準拠していないため、終了します。
注意:
- 特定の AWS のサービスおよび組織ルール名のリソースタイプを置き換えることができます。
- この設定は、AWS Organizations 管理アカウントにのみ適用されます**。** メンバーアカウントのリソースに対して修正アクションを実行するには、 AWS CloudFormation StackSets を使用するランブックによって EventBridge ルールを設定します 。
1. 開始する前に、AWS Systems Manager Automation を実行するための EC2 アクセス許可と、次のようなシステムマネージャーオートメーションロールの信頼ポリシーがあることを確認してください。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
2. EventBridge コンソールを開きます。
3. ナビゲーションペインで、[Rules★]、[Create rule★] の順に選択します。
4. [Name and description] にルールの名前と説明を入力します。
5. [Define pattern] で [Event pattern] を選択します。
5. [Event matching pattern] で [Custom pattern] を選択します。
6. [Event pattern] で、次の例のイベントパターンをコピーして貼り付け、[Save] を選択します。
注意:「TestRuleExample」は、アカウントのターゲット組織ルール名に置き換えます。
{
"source": [
"aws.config"
],
"detail-type": [
"Config Rules Compliance Change"
],
"detail": {
"messageType": [
"ComplianceChangeNotification"
],
"configRuleName": [
{
"prefix": "OrgConfigRule-TestRuleExample-"
}
],
"resourceType": [
"AWS::EC2::Instance"
],
"newEvaluationResult": {
"complianceType": [
"NON_COMPLIANT"
]
}
}
}
7. [Target] ドロップダウンリストを選択し、[SSM Automation] を選択します。
8. [Document] ドロップダウンリストを選択し、[AWS-TerminateEC2Instance] を選択します。
9. [Configure document version] を展開し、[Latest] を選択します。
10. [Configure automation parameter(s)] を展開し、[Input Transformer] を選択します。
11. [Input Path] テキストボックスに、以下をコピーして貼り付けます。
{"instanceid":"$.detail.resourceId"}
12. [Instance ID text] テキストボックスに、以下をコピーして貼り付けます。
{"InstanceId":[<instanceid>],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
注意: AutomationAssumeRole ARN の値を SSM ロール ARN に置き換えます。
13. [Create a new role] または [Use existing role] を選択し、[Create] を選択します。
注意: EventBridge ルールのステータスが [Enabled] になっていることを確認してください。
組織の AWS Config ルールのステータスの詳細およびリストの取得については、「describe-organization-config-rule-statuses」および「describe-organization-config-rules」を参照してください。
関連情報
AWS Config サービスを使用して AWS アカウントでリソースが作成されたときに、カスタム E メール通知を受け取るにはどうすればよいですか?
AWS Config ルールを使用してコンプライアンス違反のリソースを自動的に修正する
チュートリアル: イベントターゲットに渡されるものを Input Transformer を使用してカスタマイズする