terraform aws clickops notifier
v5.2.0
Achten Sie darauf, dass Benutzer Aktionen in der AWS -Konsole ergreifen. Mehr hier
Es ist nicht ausschließlich eine Anforderung, dass Sie dies mit AWS ControlTower verwenden. Das Modul wurde nur im Protokollarchivkonto getestet, das mit AWS ControlTower versandt. Richten Sie Ihre AWS-Credentails so ein, dass aws sts get-caller-identity | grep Account bietet Ihnen Ihre Kontrolltower -Protokollarchiv -Konto -ID.
Wenn Ihr Konto Teil einer AWS -Organisation ist, die keine zentralisierte CloudTrail -Protokollierung verwendet oder die ClickOPs auf organisatorischer Ebene nicht überwachen möchte, können Sie ClickOPs im standalone -Modus in einem einzigen Konto bereitstellen. Für den Standalone -Modus benötigen Sie CloudTrail in Ihrem Konto aktiviert. Lassen Sie ihn so konfigurieren, dass Protokolle in eine CloudWatch -Protokollgruppe geschrieben werden, und verfügt über eine ausreichende Berechtigung, einen Abonnementfilter für die Protokollgruppe zu erstellen.
Die folgenden Aktionen werden nicht alarmiert, diese sind entweder:
Diese Funktionalität kann mit den Variablen excluded_scoped_actions und ausgeschlossene und excluded_scoped_actions_effect überschrieben werden. Die Liste der ausgeschlossenen Aktionen ist in den unten stehenden Terraform -Dokumenten verfügbar.
Melden Sie Probleme/Fragen/Feature -Anfragen im Abschnitt "Ausgaben".
Hier finden Sie volle Richtlinien.
| Name | Beschreibung | Typ | Standard | Erforderlich |
|---|---|---|---|---|
| zusätzlich_iam_policy_statements | Karte der dynamischen Richtlinienanweisungen, um die Rolle der Lambda -Funktion anzuhängen | any | {} | NEIN |
| erlaubt_aws_principals_for_sns_subscribe | Liste der AWS -Schulleiter, die das SNS -Thema abonnieren können (nur für Org -Bereitstellungen anwendbar). | list(string) | [] | NEIN |
| CloudTrail_Bucket_Name | Bucket mit den CloudTrail -Protokollen, die Sie verarbeiten möchten. ControlTower Bucket-Name folgt dieser Namenskonvention aws-controltower-logs-{{account_id}}-{{region}} | string | "" | NEIN |
| CloudTrail_Bucket_Notifications_Sns_arn | SNS -Thema für Bucket -Benachrichtigungen. Wenn nicht zur Verfügung gestellt, wird ein neues SNS -Thema zusammen mit der Konfiguration von Bucket Benachrichtigungen erstellt. | string | null | NEIN |
| CloudTrail_log_group | CloudWatch -Protokollgruppe für CloudTrail -Ereignisse. | string | "" | NEIN |
| create_iam_role | Bestimmt, ob eine IAM -Rolle erstellt wird, oder um eine vorhandene IAM -Rolle zu verwenden | bool | true | NEIN |
| Event_batch_size | Batch -Ereignisse in Teile von event_batch_size | number | 100 | NEIN |
| event_maximum_batching_window | Maximales Batching -Fenster in Sekunden. | number | 300 | NEIN |
| event_processing_timeout | Maximale Anzahl von Sekunden Die Lambda darf laufen und die Anzahl der Sekunden -Ereignisse sollte in SQS versteckt werden, nachdem ich meine Lambda abgeholt hatte. | number | 60 | NEIN |
| ausgeschlossen_ Accounts | Liste der Konten, die für Scans bei manuellen Aktionen ausgeschlossen werden. Diese werden über included_accounts eingeliefert | list(string) | [] | NEIN |
| ausgeschlossen_scoped_actions | Eine Liste von Dienstleistungsaktionen, die nicht aufmerksam werden. Format {{service}}. Amazonaws.com: <Naction}} | list(string) | [] | NEIN |
| ausgeschlossen_scoped_actions_effect | Sollten die vorhandenen exludierten Aktionen ersetzt oder angehängt werden. Standardmäßig wird es an die Liste angehängt, gültige Werte: Anhängen, Ersetzen | string | "APPEND" | NEIN |
| ausgeschlossen | Die Liste der E -Mail -Adressen wird beim Üben von ClickOps nicht gemeldet. | list(string) | [] | NEIN |
| firehose_delivery_stream_name | Kinesis Firehose Delivery Stream Name zum Ausgabe von ClickOPS -Ereignissen an. | string | null | NEIN |
| iam_role_arn | Bestehende IAM -Rolle für die Lambda. Erforderlich, wenn create_iam_role auf false eingestellt ist | string | null | NEIN |
| enthalten_ Accounts | Liste der Konten, die auf manuelle Aktionen gescannt werden. Wenn leer alle Konten scannen. | list(string) | [] | NEIN |
| enthalten_user | Liste der E -Mails, die auf manuelle Aktionen gescannt werden. Wenn leer alle E -Mails scannen. | list(string) | [] | NEIN |
| KMS_KEY_ID_FOR_SNS_TOPIC | KMS -Schlüssel -ID zum Verschlingen der SNS_TOPIC (nur für Org -Bereitstellungen anwendbar). | string | null | NEIN |
| lambda_deployment_s3_bucket | S3 Bucket für Lambda -Bereitstellungspaket. | string | null | NEIN |
| lambda_deployment_s3_key | S3 -Objektschlüssel für das Lambda -Bereitstellungspaket. Andernfalls wird standardmäßig var.naming_prefix/local.deployment_filename angelegt. | string | null | NEIN |
| lambda_deployment_upload_to_s3_enabled | Wenn true , wird das Lambda -Bereitstellungspaket in diesem Modul -Repo in S3 kopiert. Wenn false , muss das S3 -Objekt separat hochgeladen werden. Ignoriert, wenn lambda_deployment_s3_bucket null ist. | bool | true | NEIN |
| lambda_log_level | Lambda -Protokollierung. Einer von: ["DEBUG", "INFO", "WARN", "ERROR"] . | string | "WARN" | NEIN |
| lambda_memory_size | Die Menge an Speicher für Lambda zu verwenden | number | "128" | NEIN |
| lambda_runtime | Die Lambda -Laufzeit zu verwenden. Einer von: ["python3.9", "python3.8", "python3.7"] | string | "python3.8" | NEIN |
| log_retention_in_days | Anzahl der Tage, um CloudWatch -Protokolle zu halten | number | 14 | NEIN |
| naming_prefix | Die Ressourcen werden damit vorangestellt | string | "clickops-notifier" | NEIN |
| eigenständig | Stellen Sie ClickOps in einem eigenständigen Konto anstatt in einer gesamten AWS -Organisation ein. Ideal für Teams, die Clickops nur in ihren Konten überwachen möchten, in denen es nicht auf organisatorischer Ebene instrumentiert ist. | bool | false | NEIN |
| subcription_filter_distribution | Die Methode zur Verteilung von Protokolldaten an das Ziel. Standardmäßig werden die Protokolldaten mit dem Protokollstrom gruppiert, die Gruppierung kann jedoch für eine gleichmäßigere Verteilung auf zufällig eingestellt werden. Diese Eigenschaft ist nur dann anwendbar, wenn das Ziel ein Amazon Kinesis -Stream ist. Gültige Werte sind "zufällig" und "Bylogstream". | string | "Random" | NEIN |
| Tags | Tags, die zusätzlich zu den default_tags für den Anbieter zu Ressourcen hinzufügen können | map(string) | {} | NEIN |
| webhooks_for_msteams_notifications | Karte von custom_name => webhook URL für MS -Teams Benachrichtigungen. https://learn.microsoft.com/en-us/microsoftteams/platform/webhooks-and-connectors/how-tode/add-incoming-webhook?tabs=dotnet | map(string) | {} | NEIN |
| webhooks_for_slack_notifications | Karte von custom_name => webhook URL für Slack -Benachrichtigungen. https://api.slack.com/messaging/webhooks | map(string) | {} | NEIN |
| Name | Quelle | Version |
|---|---|---|
| ClickOps_Notifier_Lambda | Terraform-Aws-Modules/Lambda/AWS | 4.9.0 |
| Name | Beschreibung |
|---|---|
| ClickOps_Notifier_Lambda | Entdecken Sie alle Ausgänge aus dem Lambda -Modul |
| sns_topic | Entdecken Sie die SNS -Details der Eimerbenachrichtigung |
| sqs_queue | Entdecken Sie die SQS -Details der Bucket Benachrichtigung |
| Name | Version |
|---|---|
| AWS | > = 4,9 |
| Name | Version |
|---|---|
| Terraform | > = 0,15,0 |
| AWS | > = 4,9 |
| Name | Typ |
|---|---|
| aws_cloudwatch_log_subscription_filter.this | Ressource |
| aws_s3_bucket_notification.bucket_notification | Ressource |
| AWS_S3_OBJECT.Deployment | Ressource |
| aws_sns_topic.bucket_notifications | Ressource |
| aws_sns_topic_policy.bucket_notifications | Ressource |
| AWS_SNS_TOPIC_SUBSCIPTION.BUCKET_NOTIFIKATIONS | Ressource |
| aws_sqs_queue.bucket_notifications | Ressource |
| aws_sqs_queue_policy.bucket_notifications | Ressource |
| AWS_SSM_PARAMETER.Webhooks_For_Msteams | Ressource |
| AWS_SSM_parameter.Webhooks_for_slack | Ressource |
| aws_caller_identity.current | Datenquelle |
| aws_cloudwatch_log_group.this | Datenquelle |
| aws_iam_policy_document.bucket_notifications | Datenquelle |
| aws_iam_policy_document.lambda_permissions | Datenquelle |
| aws_iam_policy_document.sns_topic_policy_bucket_notifications | Datenquelle |
| aws_region.current | Datenquelle |
locals {
ignored_scoped_events_built_in = [
" cognito-idp.amazonaws.com:InitiateAuth " ,
" cognito-idp.amazonaws.com:RespondToAuthChallenge " ,
" sso.amazonaws.com:Federate " ,
" sso.amazonaws.com:Authenticate " ,
" sso.amazonaws.com:Logout " ,
" sso.amazonaws.com:SearchUsers " ,
" sso.amazonaws.com:SearchGroups " ,
" sso.amazonaws.com:CreateToken " ,
" signin.amazonaws.com:UserAuthentication " ,
" signin.amazonaws.com:SwitchRole " ,
" signin.amazonaws.com:RenewRole " ,
" signin.amazonaws.com:ExternalIdPDirectoryLogin " ,
" signin.amazonaws.com:CredentialVerification " ,
" signin.amazonaws.com:CredentialChallenge " ,
" signin.amazonaws.com:CheckMfa " ,
" logs.amazonaws.com:StartQuery " ,
" cloudtrail.amazonaws.com:StartQuery " ,
" iam.amazonaws.com:SimulatePrincipalPolicy " ,
" iam.amazonaws.com:GenerateServiceLastAccessedDetails " ,
" glue.amazonaws.com:BatchGetJobs " ,
" glue.amazonaws.com:BatchGetCrawlers " ,
" glue.amazonaws.com:StartJobRun " ,
" glue.amazonaws.com:StartCrawler " ,
" athena.amazonaws.com:StartQueryExecution " ,
" servicecatalog.amazonaws.com:SearchProductsAsAdmin " ,
" servicecatalog.amazonaws.com:SearchProducts " ,
" servicecatalog.amazonaws.com:SearchProvisionedProducts " ,
" servicecatalog.amazonaws.com:TerminateProvisionedProduct " ,
" cloudshell.amazonaws.com:CreateSession " ,
" cloudshell.amazonaws.com:PutCredentials " ,
" cloudshell.amazonaws.com:SendHeartBeat " ,
" cloudshell.amazonaws.com:CreateEnvironment " ,
" kms.amazonaws.com:Decrypt " ,
" kms.amazonaws.com:RetireGrant " ,
" trustedadvisor.amazonaws.com:RefreshCheck " ,
# Must CreateMultipartUpload before uploading any parts.
" s3.amazonaws.com:UploadPart " ,
" s3.amazonaws.com:UploadPartCopy " ,
" route53domains:TransferDomain " ,
" support.amazonaws.com:AddAttachmentsToSet " ,
" support.amazonaws.com:AddCommunicationToCase " ,
" support.amazonaws.com:CreateCase " ,
" support.amazonaws.com:InitiateCallForCase " ,
" support.amazonaws.com:InitiateChatForCase " ,
" support.amazonaws.com:PutCaseAttributes " ,
" support.amazonaws.com:RateCaseCommunication " ,
" support.amazonaws.com:RefreshTrustedAdvisorCheck " ,
" support.amazonaws.com:ResolveCase " ,
" grafana.amazonaws.com:login_auth_sso " ,
]
}
