[小ネタ]AWS Configで非準拠になったリソースをメール通知する

はじめに

元々AWS Configの設定でもSNSを使用してストリーミングすることで、設定項目の変更やコンプライアンスの変更などの通知を受け取ることができますが、通知をカスタマイズできないので日々膨大な量の変更通知が届きます。
そうなると非準拠になったリソースを見落としがちなのでEventBridgeを使って非準拠になったリソースのみ通知されるよう設定してみました。

設定

AWS Configでのルール、SNSトピックは設定済みであることを前提にEventBridgeのルール部分のみ設定します。
特定のイベントパターンで通知させたいのでルールタイプは「イベントパターンを持つルール」を選択します。

イベントパターンに以下を入力します。
これでAWS Configのルールで非準拠のリソースが検出された場合にEventBridgeのルールが起動します。

{
  "source": ["aws.config"],
  "detail-type": ["Config Rules Compliance Change"],
  "detail": {
    "messageType": ["ComplianceChangeNotification"],
    "newEvaluationResult": {
      "complianceType": ["NON_COMPLIANT"]
    }
  }
}

ターゲットは事前に作成済みのSNSを選択することでメールアドレスへ通知されます。

さいごに

今回の記事では通知文に関して特にカスタマイズしていませんが、EventBridgeでは入力トランスフォーマーというものがありますのでこちらを設定することによってより見やすい通知文になるかと思います。
また今回はAWS Configで設定したすべてのルールの中で非準拠リソースが検出された場合に通知送ることを想定していますが、特定のルールで非準拠リソースがあった場合のみに通知するということもできますのでやりたいことに合わせてEventBridgeのルールをカスタマイズしていただければと思います。