Surveillance AWS Config avec Amazon EventBridge

Amazon EventBridge fournit un flux d'événements système en temps quasi réel qui décrivent les modifications apportées aux AWS ressources. Utilisez Amazon EventBridge pour détecter et réagir aux changements de statut des AWS Config événements.

Vous pouvez créer une règle qui s'exécute à chaque changement de statut ou lorsqu'un ou plusieurs statuts spécifiques sont activés. Ensuite, en fonction des règles que vous créez, Amazon EventBridge invoque une ou plusieurs actions cibles lorsqu'un événement correspond aux valeurs que vous spécifiez dans une règle. En fonction du type d’événement, vous pouvez envoyer des notifications, capturer les informations sur l’événement, prendre des mesures correctives, déclencher des événements ou prendre d’autres mesures.

Avant de créer des règles d'événement pour AWS Config, toutefois, vous devez effectuer les opérations suivantes :

• Familiarisez-vous avec les événements, les règles et les cibles dans EventBridge. Pour plus d'informations, consultez Qu'est-ce qu'Amazon EventBridge ?

• Pour plus d'informations sur la prise en main EventBridge et la configuration des règles, consultez Getting started with Amazon EventBridge.

• Créez la ou les cible(s), que vous allez utiliser dans vos règles d'événement.

EventBridge Format Amazon pour AWS Config

L' EventBridge événement pour AWS Config a le format suivant :

          {
             "version": "0",
             "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
             "detail-type": "event type",
             "source": "aws.config",
             "account": "111122223333",
             "time": "2018-03-22T00:38:11Z",
             "region": "us-east-1",
             "resources": [
                resources
             ],
             "detail": {
                specific message type
             }
          }  
        

Création d'une EventBridge règle Amazon pour AWS Config

Suivez les étapes ci-dessous pour créer une EventBridge règle qui se déclenche sur un événement émis par AWS Config. Les événements sont générés dans la mesure du possible.

1. Dans le volet de navigation, choisissez Règles.

2. Choisissez Créer une règle.

3. Saisissez un nom et une description pour la règle.

   Une règle ne peut pas avoir le même nom qu'une autre règle de la même région et sur le même bus d'événement.

4. Pour Type de règle, choisissez Règle avec un modèle d'événement.

5. Dans Source de l'événement, sélectionnez AWS événements ou événements EventBridge partenaires.

6. (Facultatif) Pour Type d'exemple d'événement, choisissez Événements AWS .

7. Pour Exemple d'événements, choisissez le type d'événement qui déclenche la règle :

   • Choisissez AWS API Call via CloudTrail pour baser les règles sur les appels d'API effectués vers ce service. Pour plus d'informations sur la création de ce type de règle, consultez Tutoriel : Création d'une EventBridge règle Amazon pour les appels AWS CloudTrail d'API.

   • Choisissez Config Configuration Item Change pour recevoir des notifications lorsqu'une ressource de votre compte est modifiée.

     Comme décrit dans ces articles d'assistance, vous pouvez l'utiliser EventBridge pour recevoir des notifications par e-mail personnalisées lorsqu'une ressource est créée ou supprimée. Comment puis-je recevoir des notifications par e-mail personnalisées lorsqu'une ressource est créée dans mon AWS compte à l'aide du AWS Config service ? et Comment puis-je recevoir des notifications par e-mail personnalisées lorsqu'une ressource est supprimée de mon AWS compte à l'aide AWS Config du service ? .

   • Choisissez Config Rules Compliance Change pour recevoir des notifications lorsqu'une vérification de conformité de vos règles échoue.

     Comme décrit dans cet article de support, vous pouvez l'utiliser EventBridge pour recevoir des notifications par e-mail personnalisées lorsqu'une ressource n'est pas conforme. Comment puis-je être averti lorsqu'une AWS ressource n'est pas conforme en utilisant ? AWS Config.

   • Choisissez Config Rules Re-evaluation Status pour recevoir des notifications de statut de réévaluation.

   • Choisissez Config Configuration Snapshot Delivery Status pour recevoir des notifications du statut de diffusion d'un instantané de configuration.

   • Choisissez Config Configuration History Delivery Status pour recevoir des notifications du statut de diffusion d'un historique de configuration.

8. Pour la Méthode de création, choisissez Utiliser le formulaire de modèle.

9. Pour Source d'événement, choisissez Services AWS .

10. Pour le Service AWS , choisissez Config.

11. Pour Type d'événement, choisissez le type d'événement qui déclenche la règle :

    • Choisissez Tous les événements pour établir une règle qui s'applique à tous les AWS services. Si vous choisissez cette option, vous ne pouvez pas choisir les types de messages spécifiques, les noms de règle, les types de ressource ou les ID de ressource.

    • Choisissez AWS API Call via CloudTrail pour baser les règles sur les appels d'API effectués vers ce service. Pour plus d'informations sur la création de ce type de règle, consultez Tutoriel : Création d'une EventBridge règle Amazon pour les appels AWS CloudTrail d'API.

    • Choisissez Config Configuration Item Change pour recevoir des notifications lorsqu'une ressource de votre compte est modifiée.

      Comme décrit dans ces articles d'assistance, vous pouvez l'utiliser EventBridge pour recevoir des notifications par e-mail personnalisées lorsqu'une ressource est créée ou supprimée. Comment puis-je recevoir des notifications par e-mail personnalisées lorsqu'une ressource est créée dans mon AWS compte à l'aide du AWS Config service ? et Comment puis-je recevoir des notifications par e-mail personnalisées lorsqu'une ressource est supprimée de mon AWS compte à l'aide AWS Config du service ? .

    • Choisissez Config Rules Compliance Change pour recevoir des notifications lorsqu'une vérification de conformité de vos règles échoue.

      Comme décrit dans cet article de support, vous pouvez l'utiliser EventBridge pour recevoir des notifications par e-mail personnalisées lorsqu'une ressource n'est pas conforme. Comment puis-je être averti lorsqu'une AWS ressource n'est pas conforme en utilisant ? AWS Config.

    • Choisissez Config Rules Re-evaluation Status pour recevoir des notifications de statut de réévaluation.

    • Choisissez Config Configuration Snapshot Delivery Status pour recevoir des notifications du statut de diffusion d'un instantané de configuration.

    • Choisissez Config Configuration History Delivery Status pour recevoir des notifications du statut de diffusion d'un historique de configuration.

12. Choisissez Tout type de message pour recevoir des notifications de tout type. Choisissez Type(s) de message spécifique(s) pour recevoir les types de notification suivants :

    • Si vous le souhaitez ConfigurationItemChangeNotification, vous recevez des messages lorsque la configuration d'une ressource qui AWS Config évalue a changé.

    • Si vous le souhaitez ComplianceChangeNotification, vous recevez des messages lorsque le type de conformité d'une ressource qui AWS Config évalue a changé.

    • Si vous le souhaitez ConfigRulesEvaluationStarted, vous recevez des messages lorsque vous AWS Config commencez à évaluer votre règle par rapport aux ressources spécifiées.

    • Si vous le souhaitez ConfigurationSnapshotDeliveryCompleted, vous recevez des messages lorsque l'instantané de configuration est AWS Config correctement envoyé à votre compartiment Amazon S3.

    • Si vous le souhaitez ConfigurationSnapshotDeliveryFailed, vous recevez des messages lorsque vous AWS Config ne parvenez pas à fournir l'instantané de configuration à votre compartiment Amazon S3.

    • Si vous le souhaitez ConfigurationSnapshotDeliveryStarted, vous recevez des messages lorsque AWS Config vous commencez à envoyer l'instantané de configuration à votre compartiment Amazon S3.

    • Si vous le souhaitez ConfigurationHistoryDeliveryCompleted, vous recevez des messages lorsque l'historique de configuration est AWS Config correctement transmis à votre compartiment Amazon S3.

13. Si vous avez choisi un type d'événement spécifique dans la liste déroulante Type d'événement, choisissez N'importe quel type de ressource pour établir une règle qui s'applique à tous les types de ressources AWS Config pris en charge.

    Vous pouvez aussi choisir Type(s) de ressource spécifique(s), puis saisir le type de ressource pris en charge par AWS Config (par exemple, AWS::EC2::Instance).

14. Si vous choisissez un type d'événement spécifique dans la liste déroulante Type d'événement, choisissez N'importe quel ID de ressource pour inclure tous les ID de ressource pris en charge par AWS Config .

    Vous pouvez aussi choisir ID de ressource spécifique(s), puis saisir l'ID de ressource pris en charge par AWS Config (par exemple, i-04606de676e635647).

15. Si vous choisissez un type d'événement spécifique dans la liste déroulante Type d'événement, choisissez Tout nom de règle pour inclure toutes les règles prises en charge par AWS Config .

    Vous pouvez aussi choisir Nom(s) de règle spécifique(s), puis saisir la règle prise en charge par AWS Config (par exemple, required-tags).

16. Pour Sélectionner une ou plusieurs cibles, choisissez le type de cible que vous avez préparé pour l'utiliser avec cette règle, puis configurez les options supplémentaires requises par ce type de cible.

17. Les champs affichés varient en fonction du service que vous choisissez. Entrez les informations spécifiques requises pour ce type de cible.

18. Pour de nombreux types de cibles, EventBridge nécessite des autorisations pour envoyer des événements à la cible. Dans ces cas, EventBridge vous pouvez créer le rôle IAM nécessaire à l'exécution de votre règle.

    • Pour créer un rôle IAM automatiquement, sélectionnez Create a new role for this specific resource.

    • Pour utiliser un rôle IAM que vous avez créé auparavant, sélectionnez Use existing role (Utiliser un rôle existant).

19. (Facultatif) Sélectionnez Ajouter une cible pour ajouter une autre cible pour cette règle.

20. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez Amazon EventBridge tags.

21. Passez en revue la configuration de votre règle pour vous assurer qu'elle correspond à vos besoins de surveillance des événements.

22. Choisissez Créer pour confirmer votre sélection.