terraform aws clickops notifier
v5.2.0
Soyez avisé lorsque les utilisateurs prennent des mesures dans la console AWS. Plus ici
Ce n'est pas strictement une exigence, que vous l'utilisiez avec AWS Controltower. Le module n'a été testé que dans le compte d'archive logarithmique qui expédie avec AWS Controltower. Configurez vos crédits AWS tels que aws sts get-caller-identity | grep Account vous donne votre ID de compte d'archive de journal ControlSower.
Si votre compte fait partie d'une organisation AWS qui n'utilise pas de journalisation Cloudtrail centralisée ou qui ne veut pas surveiller les clics au niveau organisationnel, vous pouvez déployer des clics en mode standalone dans un seul compte. Pour le mode autonome, vous avez besoin de cloudtrail activé dans votre compte, faites-le configurer pour écrire des journaux à un groupe de journaux CloudWatch et avoir une autorisation suffisante pour créer un filtre d'abonnement sur le groupe de journaux.
Les actions suivantes ne seront pas alertées, ce sont non plus:
Cette fonctionnalité peut être remplacée avec les variables excluded_scoped_actions et excluded_scoped_actions_effect . La liste des actions exclues est disponible dans les documents Terraform ci-dessous.
Signaler les problèmes / questions / les demandes de fonctionnalités dans la section des problèmes.
Les lignes directrices complémentaires complètes sont couvertes ici.
| Nom | Description | Taper | Défaut | Requis |
|---|---|---|---|---|
| supplémentaire_iam_policy_statements | Carte des déclarations de stratégie dynamique à attacher au rôle de fonction lambda | any | {} | Non |
| autorisé_AWS_PRINCIPALS_FOR_SNS_SUBSCRIME | Liste des directeurs AWS autorisés à s'abonner au sujet SNS (uniquement applicable aux déploiements de l'organisation). | list(string) | [] | Non |
| cloudtrail_bucket_name | Bodet contenant les journaux CloudTrail que vous souhaitez traiter. Le nom de godet ControlTower suit cette convention de dénomination aws-controltower-logs-{{account_id}}-{{region}} | string | "" | Non |
| cloudtrail_bucket_notifications_sns_arn | SNS Topic ARN pour les notifications de seau. S'il n'est pas fourni, un nouveau sujet SNS sera créé avec la configuration des notifications de seau. | string | null | Non |
| cloudtrail_log_group | Groupe de journaux CloudWatch pour les événements CloudTrail. | string | "" | Non |
| create_iam_role | Détermine si un rôle IAM est créé ou pour utiliser un rôle IAM existant | bool | true | Non |
| event_batch_size | Événements par lots en morceaux de event_batch_size | number | 100 | Non |
| event_maximum_batching_window | Fenêtre par lots maximale en secondes. | number | 300 | Non |
| event_processing_timeout | Nombre maximum de secondes La Lambda est autorisée à fonctionner et le nombre d'événements de secondes doit être caché en SQS après avoir été ramassé ma lambda. | number | 60 | Non |
| exclud_accouts | Liste des comptes exclus pour les analyses sur les actions manuelles. Ceux-ci prennent des législades sur included_accounts | list(string) | [] | Non |
| exclud_scoped_actions | Une liste des actions à portée de service qui ne seront pas alertées. Format {{service}}. Amazonaws.com :{action}} | list(string) | [] | Non |
| exclud_scoped_actions_effecte | Si les actions exutées existantes sont remplacées ou annexées. Par défaut, il ajoutera la liste, valeurs valides: ajouter, remplacer | string | "APPEND" | Non |
| Exclusiond_users | La liste des adresses e-mail ne sera pas signalée lors de la pratique des clics. | list(string) | [] | Non |
| Firehose_delivery_stream_name | KINESIS FIREHOSE DIVRIRATION DU STREAL NOM DE SORTIE D'ÉVIVANTS CLICSOPS. | string | null | Non |
| iam_role_arn | IAM IAM Rôle ARN pour la Lambda. Requis si create_iam_role est défini sur false | string | null | Non |
| Inclus_accouts | Liste des comptes qui sont scannés à des actions manuelles. Si vide analysera tous les comptes. | list(string) | [] | Non |
| inclus_users | Liste des e-mails qui sont scannés à des actions manuelles. Si vide scannera tous les e-mails. | list(string) | [] | Non |
| kms_key_id_for_sns_topic | ID de clé KMS pour crypter le SNS_TOPIC (uniquement applicable aux déploiements ORG). | string | null | Non |
| lambda_deployment_s3_bucket | Bodet S3 pour le package de déploiement lambda. | string | null | Non |
| lambda_deployment_s3_key | Clé d'objet S3 pour le package de déploiement lambda. Sinon, par défaut à var.naming_prefix/local.deployment_filename . | string | null | Non |
| lambda_deployment_upload_to_s3_enabled | Si true , le package de déploiement Lambda dans ce repo de module sera copié sur S3. Si false , l'objet S3 doit être téléchargé séparément. Ignoré si lambda_deployment_s3_bucket est null. | bool | true | Non |
| lambda_log_level | Niveau de journalisation de lambda. L'un des: ["DEBUG", "INFO", "WARN", "ERROR"] . | string | "WARN" | Non |
| lambda_memory_size | La quantité de mémoire à utiliser Lambda | number | "128" | Non |
| lambda_runtime | Le runtime lambda à utiliser. L'un des: ["python3.9", "python3.8", "python3.7"] | string | "python3.8" | Non |
| log_retention_in_days | Nombre de jours pour tenir les journaux CloudWatch | number | 14 | Non |
| naming_prefix | Les ressources seront préfixées avec cela | string | "clickops-notifier" | Non |
| autonome | Déployez les clicks dans un compte autonome plutôt que dans une organisation AWS entière. Idéal pour les équipes qui souhaitent surveiller les clics uniquement dans leurs comptes où il n'est pas instrumenté au niveau organisationnel. | bool | false | Non |
| SUBcription_filter_distribution | La méthode utilisée pour distribuer des données de journal à la destination. Par défaut, les données de journal sont regroupées par Stream de journal, mais le regroupement peut être défini sur aléatoire pour une distribution plus uniforme. Cette propriété ne s'applique que lorsque la destination est un flux de kinésis Amazon. Les valeurs valides sont "aléatoires" et "bylogstream". | string | "Random" | Non |
| balises | Tags à ajouter aux ressources en plus des_tags default_tags pour le fournisseur | map(string) | {} | Non |
| webhooks_for_msteams_notifications | Carte de custom_name => webhook URL pour les notifications des équipes MS. https://learn.microsoft.com/en-us/microsoftteams/platform/webhooks-and-connectors/how-to/add-incoming-webhook?tabs=dotnet | map(string) | {} | Non |
| webhooks_for_slack_notifications | Carte de custom_name => webhook URL pour les notifications Slack. https://api.slack.com/messing/webhooks | map(string) | {} | Non |
| Nom | Source | Version |
|---|---|---|
| clickops_notifier_lambda | Terraform-aws-modules / lambda / aws | 4.9.0 |
| Nom | Description |
|---|---|
| clickops_notifier_lambda | Exposez toutes les sorties du module Lambda |
| sns_topic | Exposez les détails SNS de notification du seau |
| sqs_queue | Exposez les détails de la notification de seau SQS |
| Nom | Version |
|---|---|
| AWS | > = 4.9 |
| Nom | Version |
|---|---|
| terraform | > = 0,15.0 |
| AWS | > = 4.9 |
| Nom | Taper |
|---|---|
| aws_cloudwatch_log_subscription_filter. | ressource |
| aws_s3_bucket_notification.bucket_notification | ressource |
| aws_s3_object.deployment | ressource |
| aws_sns_topic.bucket_notifications | ressource |
| aws_sns_topic_policy.bucket_notifications | ressource |
| aws_sns_topic_subscription.bucket_notifications | ressource |
| aws_sqs_queue.bucket_notifications | ressource |
| aws_sqs_queue_policy.bucket_notifications | ressource |
| aws_ssm_parameter.webhooks_for_msteams | ressource |
| aws_ssm_parameter.webhooks_for_slack | ressource |
| aws_caller_identity.current | source de données |
| aws_cloudwatch_log_group.si | source de données |
| aws_iam_policy_document.bucket_notifications | source de données |
| aws_iam_policy_document.lambda_permissions | source de données |
| aws_iam_policy_document.sns_topic_policy_bucket_notifications | source de données |
| aws_region.current | source de données |
locals {
ignored_scoped_events_built_in = [
" cognito-idp.amazonaws.com:InitiateAuth " ,
" cognito-idp.amazonaws.com:RespondToAuthChallenge " ,
" sso.amazonaws.com:Federate " ,
" sso.amazonaws.com:Authenticate " ,
" sso.amazonaws.com:Logout " ,
" sso.amazonaws.com:SearchUsers " ,
" sso.amazonaws.com:SearchGroups " ,
" sso.amazonaws.com:CreateToken " ,
" signin.amazonaws.com:UserAuthentication " ,
" signin.amazonaws.com:SwitchRole " ,
" signin.amazonaws.com:RenewRole " ,
" signin.amazonaws.com:ExternalIdPDirectoryLogin " ,
" signin.amazonaws.com:CredentialVerification " ,
" signin.amazonaws.com:CredentialChallenge " ,
" signin.amazonaws.com:CheckMfa " ,
" logs.amazonaws.com:StartQuery " ,
" cloudtrail.amazonaws.com:StartQuery " ,
" iam.amazonaws.com:SimulatePrincipalPolicy " ,
" iam.amazonaws.com:GenerateServiceLastAccessedDetails " ,
" glue.amazonaws.com:BatchGetJobs " ,
" glue.amazonaws.com:BatchGetCrawlers " ,
" glue.amazonaws.com:StartJobRun " ,
" glue.amazonaws.com:StartCrawler " ,
" athena.amazonaws.com:StartQueryExecution " ,
" servicecatalog.amazonaws.com:SearchProductsAsAdmin " ,
" servicecatalog.amazonaws.com:SearchProducts " ,
" servicecatalog.amazonaws.com:SearchProvisionedProducts " ,
" servicecatalog.amazonaws.com:TerminateProvisionedProduct " ,
" cloudshell.amazonaws.com:CreateSession " ,
" cloudshell.amazonaws.com:PutCredentials " ,
" cloudshell.amazonaws.com:SendHeartBeat " ,
" cloudshell.amazonaws.com:CreateEnvironment " ,
" kms.amazonaws.com:Decrypt " ,
" kms.amazonaws.com:RetireGrant " ,
" trustedadvisor.amazonaws.com:RefreshCheck " ,
# Must CreateMultipartUpload before uploading any parts.
" s3.amazonaws.com:UploadPart " ,
" s3.amazonaws.com:UploadPartCopy " ,
" route53domains:TransferDomain " ,
" support.amazonaws.com:AddAttachmentsToSet " ,
" support.amazonaws.com:AddCommunicationToCase " ,
" support.amazonaws.com:CreateCase " ,
" support.amazonaws.com:InitiateCallForCase " ,
" support.amazonaws.com:InitiateChatForCase " ,
" support.amazonaws.com:PutCaseAttributes " ,
" support.amazonaws.com:RateCaseCommunication " ,
" support.amazonaws.com:RefreshTrustedAdvisorCheck " ,
" support.amazonaws.com:ResolveCase " ,
" grafana.amazonaws.com:login_auth_sso " ,
]
}
