ビュー:
自動修復により、お客様はインフラストラクチャで自己修復型のLambda関数を実行でき、セキュリティとガバナンスの障害をリアルタイムで修復できます。サポート対象のリストについては、GitHubのページを参照してください。 Lambda関数の自動修復
大企業向けの自動修復の実装と、セキュリティギャップを埋めるためのカスタムLambdaの記述の詳細については、以下を参照してください。 クラウドポスチャ プラットフォームでセキュリティとコンプライアンスの自動修復を追加する方法
注意
注意
[シナリオの例]: ユーザがS3アクセス制御リスト (ACL) を介してS3バケットを一般公開します。

自動修復の仕組み 親トピック

手順

  1. クラウドポスチャ は、リスクをルール違反として識別します。
  2. クラウドポスチャ は、指定されたSNSチャネルに通知を送信します。
  3. SNSトピックによってOrchestratorのラムダ関数がトリガーされ、S3バケットの自動修復関数が呼び出されます。
  4. AutoRemediateS3-001関数S3バケットのACLを更新してルールエラーを解決することで、セキュリティギャップを埋めます。

次に進む前に

auto-remediate-y5t5m.png

自動修復の設定 親トピック

手順

  1. 公式サーバレスドキュメントの指示に従ってAWSアカウントをインストールし、サーバレスフレームワークへのアクセスを提供します。自動修復リポジトリの作業用コピーを作成し、次の手順に従います。
  2. 自動修復リポジトリの作業用コピーを作成します。
    1. Linux / Mac OS X / WindowsにGitをインストールするシステムにインストールされていない場合
    2. 次のGitコマンドを実行します。git clone https://github.com/cloudconformity/auto-remediate.git
    step-2-set-up-auto-r.png
    3. 自動修復フォルダ内の関数にディレクトリを変更します。cd auto-remediate/functions
    4. 次のコマンドを使用してルール設定にアクセスします。nano config.js
    step-4-set-up-auto-r.png
    {.zoom}
    5. [config.js] ファイルのすべてのルールが次のように設定されます。
    'enabled': false設定ミスを防ぐため、初期設定では値を次のように変更して、ルールを手動で有効にする必要があります。
    'enabled': true
    step-5-set-up-auto-r.png
    6. 変更後、次の手順を実行します。
    • キーボード操作 [Ctrl+O] を実行して変更を書き出す
    • [Enter] を押して変更を確認します。
    • [Ctrl+X。]のキーボード操作を実行して、コマンドラインエディタを終了します。
    7. 次のコマンドを実行します。
    - Move one level up to the "auto-remediate" folder using the command: `cd ..` - Make node:modules folder available to AWS using the command: `npm install` ![](img/rules/step-7=25759750-007c-4e3c-9a01-e896e23815a1-set-up-auto-remediate-gcsmxd=3df4e1ab-863d-4cf9-b019-43fb485f8103.png){.zoom}
    8. 次のコマンドを実行して、自動修復を配信します。
    serverless deploy --region [your AWS account region]
    serverless deploy --region us-east-2
    注意
    注意
    !!! note "" 自己修復機能については、AWSアカウントと同じリージョンに自動修復をデプロイすることをお勧めします。チェックの失敗の検出は、 RTMそしてクラウドポスチャ ボット
    step-8-set-up-auto-r.png
    9. 配信が成功したら、次の手順を実行します。
    - An SNS topic named **CloudConformity** is automatically created in your AWS account.
    step-9a-set-up-auto-.png
    • [autoremediate-v1-AutoRemediateOrchestrator] という名前のLambda関数が、 [CloudConformity] SNSトピックに自動的にサブスクライブされます。
    step-9b-set-up-auto-.png
    10. 統合するAmazon SNSの通信 クラウドポスチャ プラットフォームでチャネルを選択し、有効にする通知を選択します。
    - [Automatic notifications](toggle-automatic-not.xml) - failed checks are automatically resolved when a message is published to your SNS channel. - [Manual notifications](toggle-manual-notifi.xml) - you can view the **Send via SNS** button on Check failures. Click on the button to resolve the failure.

次に進む前に

自動修復の配信後にルールを有効または無効にする 親トピック

手順

  1. AWSコンソールで、次の場所に移動します。[サービス] [コンピューティング] [Lambda] [機能]
  2. 検索して選択: [auto-remediate-v1-AutoRemediateOrchestrator]
    step-2-enable-rules-.png
  3. 設定を変更します。
    [設定] [Function code] [環境] [自動修復v1] [機能します。]に移動
  4. [config.js] を選択し、自動修復ルールの設定を変更します。
    step-4-enable-rules-.png

自動修復の配信のテスト 親トピック

手順

  1. 次のことを確認します。通信トリガの設定中に選択したAmazon SNSチャネル変更内容:
    [すべてのチェック] で通知を送信するように初期設定に設定するか、または
    [ルール]の下にある [EC2-002] を具体的に選択できます。
  2. 次の手順に従って、 [AutoRemediateEC2-002] ルールが有効になっていることを確認します。ルールを有効にする手順
    step-2-test-deployme.png
  3. AWSコンソールで、次の場所に移動します。[サービス] [コンピューティング] [EC2セキュリティグループ]
    step-3-test-deployme.png
  4. [セキュリティグループの作成]をクリックします。
    1. 名前と説明を入力し、[VPC] を選択します。
    2. 未満[Security group rules] [インバウンド、] [ルールの追加]をクリックします。
      • 種類の選択: [SSH]
      • ソース: [すべてのアプリケーションを許可]
      • [作成] をクリックします。メモ ""

手動通知を使用した解決 親トピック

手動通知のみを有効にしている場合、次の手順に従ってエラーを解決します。

手順

  1. [すべてのチェック] レポートに移動し、次の条件でルールをフィルタします。
    • [ルール]: EC2-002 (無制限のSSHアクセス)
    • [次の期間未満で作成されたチェックのみを表示]: 1日
  2. [チェックの失敗] で、 [SNS経由で送信]をクリックします。

自動修復の解決方法を確認する 親トピック

手順

  1. AWSコンソールで、次の場所に移動します。[サービス] [コンピューティング] [EC2] [セキュリティグループ。]手順4で作成したセキュリティグループは使用できなくなります。
    step-1-verify-resolu.png
  2. AWSコンソールで、**[Services]>[Compute]>[Lambda]>[Functions]>[Select {auto-remediate function} ] >[Monitoring] の順に選択します。**ラムダ監視グラフを確認して、 [auto-remediate-v1-AutoRemediateOrchestrator] とそのサブ関数がトリガーされているかどうかを確認することもできます。
    step-2-verify-resolu.png

自動修復プロジェクトへの貢献 親トピック

独自の自動修復コードをフォークして変更することはできますが、 クラウドポスチャ ではフォークされたコードに対するサポートは提供しません。ただし、プルリクエストを自動修復コードに送信することはできます。承認された場合、そのコードはカスタマーサクセスチームによってサポートされます。