Como posso adicionar ações de correção para regras de organização do AWS Config?
Quero usar ações de correção, mas a regra do AWS Config da organização não oferece suporte a ações de correção.
Breve descrição
Use um padrão de evento personalizado com uma regra do Amazon EventBridge para combinar corresponder a regra do AWS Config da sua organização. Em seguida, escolha o runbook do AWS Systems Manager Automation como destino.
Resolução
No exemplo a seguir, o runbook AWS-TerminateEC2Instance é executado em recursos não compatíveis da regra da organização com o tipo de recurso AWS::EC2::Instance. A instância do Amazon Elastic Compute Cloud (Amazon EC2) é encerrada porque não está em conformidade.
Observação:
- você pode substituir o tipo de recurso do nome específico da regra da organização e do serviço da AWS.
- Essa configuração é somente para a conta de gerenciamento do AWS Organizations **.**Para realizar a ação de correção nos recursos das suas contas-membro, configure a regra do EventBridge com um runbook usando o AWS CloudFormation StackSets.
1. Antes de começar, certifique-se de ter permissões do EC2 para executar o runbook do AWS Systems Manager Automation e uma política de confiança do Systems Manager Automation Role semelhante à seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
2. Abra o console do EventBridge.
3. No painel de navegação, escolha Regras e depois Criar regra.
4. Em Nome e descrição, insira um nome e uma descrição para a regra.
5. Em Definir padrão, escolha Padrão de evento.
5. Em Padrão de correspondência de eventos, escolha Padrão personalizado.
6. Em Padrão de evento, copie e cole o seguinte exemplo de padrão de evento e escolha Salvar.
Observação: substitua “TestRuleExample” pelo nome da regra da organização de destino na sua conta.
{ "source": [ "aws.config" ], "detail-type": [ "Config Rules Compliance Change" ], "detail": { "messageType": [ "ComplianceChangeNotification" ], "configRuleName": [ { "prefix": "OrgConfigRule-TestRuleExample-" } ], "resourceType": [ "AWS::EC2::Instance" ], "newEvaluationResult": { "complianceType": [ "NON_COMPLIANT" ] } } }
7. Escolha a lista suspensa Destino e depois escolha SSM Automation.
8. Escolha a lista suspensa Documento e escolha AWS-TerminateEC2Instance.
9. Expanda Configurar versão do documento e escolha Mais recente.
10. Expanda Configurar parâmetros de automação e escolha Transformador de entrada.
11. Na caixa de texto Caminho de entrada, copie e cole o seguinte:
{"instanceid":"$.detail.resourceId"}
12. Na caixa de texto ID da instância, copie e cole o seguinte:
{"InstanceId":[<instanceid>],"AutomationAssumeRole":["arn:aws:iam::123456789012:role/SSMRoleExample"]}
Observação: substitua o valor do ARN AutomationAssumeRole pelo ARN do perfil do SSM.
13. Escolha Criar um novo perfil ou Usar perfil existente e depois escolha Criar.
Observação: certifique-se de que o status da regra do EventBridge esteja Habilitado.
Para obter mais informações sobre o status de regras do AWS Config da organização e obter uma lista, consulte describe-organization-config-rule-statuses e describe-organization-config-rules.
Informações relacionadas
Usar regras do AWS Config para corrigir automaticamente recursos não compatíveis
Tutorial: Usar o transformador de entrada para personalizar o que é passado para o evento de destino
Vídeos relacionados
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 9 meses
- AWS OFICIALAtualizada há um ano