[Dev-Config Aggregators] 컴플라이언스 '미준수' 사항들 및 자원 변경 사항들에 대해서, Aggregators 계정에서 통합하여 SNS 서비스 알림을 받을 수 있을까요?

● 문의

Config Aggregators 를 통해서 타 계정들의 컴플라이언스 준수 사항들을 체크려는 상황에서,
각 타 계정의 컴플라이언스 준수 사항은 대시보드에서 확인이 가능한데,
컴플라이언스 ＇미준수＇ 사항들 및 자원 변경 사항들에 대해서는, Aggregators 계정에서 통합하여 SNS 서비스 알림을 받을 수 있는지 궁금합니다.

● 안내

안타깝게도 AWS Config Aggregator는 현재 알림 구성을 지원하지 않는것으로 확인되었습니다.

현재 AWS Config Delivery Channels는 계정 구성별로 리젼별로 구성되어 있으며 Aggregator에는 연결된 전송 채널이 없습니다.

그러나 비슷한 결과를 얻을 수 있는 다른 방법을 하나 소개드리자면, CloudWatch 이벤트 버스 및 규칙 기능을 사용하여 이를 달성할 수 있습니다.
(Note : CloudWatch 이벤트 버스는 리젼별 기능이므로 활성화한 각 리젼에서 이 설정을 모두 개별로 구성해야 합니다. )

-----------------
Step 1: Setup Event bus in Master account [1]
a) On the CloudWatch Console, click on Event Buses.
b) Select the Event Bus and Click on Add Permission
c) Select type as "Organization" and select your Organization

Step 2: Setup Event Rule in Member Account [2][3]
a) On the CloudWatch Console, click on Rules
b) "Create Rule" -> Select "Event Pattern" -> Service Name "Config" -> Event Type "Config Rules Compliance Changes" (you can select the Type based on your use case)
c) Click on "Add Target" -> Select "Event bus in another AWS account" from the drop down -> provide Master AWS account ID -> Select the IAM role -> Configure Details

Step 3: Setup Event Rule in Master Account to send notifications [4]
a) On the CloudWatch Console, click on Rules
b) "Create Rule" -> Select "Event Pattern" -> Service Name "Config" -> Event Type "Config Rules Compliance Changes" (this should match Rule Event pattern configured in the Member Account)
c) Click on "Add Target" -> Select "Lambda function" or "SNS topic"
-----------------

위의 설정을 사용하면 조직의 모든 계정(마스터 계정 포함)으로부터 준수 변경 알림을 받을 수 있습니다.
조직에서 선택한 계정의 알림만 제한하려면 이벤트 패턴을 편집하고 "계정" 필드를 추가해야 합니다.
다음과 같이 표시됩니다:

-----------------
{
"account": [
"123456789012","111122223333"
],
"source": [
"aws.config"
],
"detail-type": [
"Config Rules Compliance Change"
]
}
-----------------

================================================
참조 링크 :

[1] https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEvents-CrossAccountEventDelivery.html#ReceivingEventsFromAnotherAccount
[2] https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEvents-CrossAccountEventDelivery.html#SendingEventsToAnotherAccount
[3] https://docs.aws.amazon.com/config/latest/developerguide/monitor-config-with-cloudwatchevents.html
[4] https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEvents-CrossAccountEventDelivery.html#WritingRulesThatMatchEventsFromAnotherAccount