前回、AWS ConfigやSystems Managerの準備をしました
今回は、組織ルールでAWSリソースにOwnerタグを付与することとなっていたとして、EC2にOwnerタグが付与されていない場合、EC2インスタンスが自動停止する設定を加えたいと思います。
AWS Configの新規ルールを追加する
ルールタイプの選択と、AWSに初めから用意されているrequired-tagsを選択する
評価モードで、必須タグ名を「値」にいれて(今回のケースはタグ名がOwnerで、値にOwnerを入れる)、次へ
ルールを追加すると、数十秒〜数分後には自動監査がはじまります
下の例では、required-tagsの非準拠リソースが3つ検出されました
この時点では、まだ自動修復アクションを設定していません。
次に、自動修復アクションで必要となるSSM用のIAMロールを以下の内容で作成する
作成したら、「ARNの値」が後で必要になるので控えておく
required-tagsに、自動修復アクションの設定を追加する
修復アクションは、AWSに最初から用意されている「AWS-StopEC2instance」を選択
パラメーターのAutomationAssumeRoleに先ほど控えた「ARNの値」を入れて、「変更を保存」
これで、設定完了
動作確認
試しにOwnerタグを付与せずに、EC2インスタンスを新規作成し、起動する
AWS Configでタグが無いことで自動検知され「非準拠」になりつつ、インスタンス停止の「アクションの実行がキューに入りました」と表示されました
EC2インスタンスが自動停止しました
