terraform aws clickops notifier
v5.2.0
Dapatkan diberitahu ketika pengguna mengambil tindakan di konsol AWS. Lebih banyak di sini
Ini bukan persyaratan yang ketat, bahwa Anda menggunakan ini dengan AWS ControlTower. Modul ini hanya diuji di akun arsip log yang dikirimkan dengan AWS ControlTower. Siapkan AWS Credentails Anda sehingga aws sts get-caller-identity | grep Account memberi Anda ID akun arsip log controlTower Anda.
Jika akun Anda adalah bagian dari organisasi AWS yang tidak menggunakan logging cloudtrail terpusat atau yang tidak ingin memantau ClickOps di tingkat organisasi, Anda dapat menggunakan clickops dalam mode standalone dalam satu akun. Untuk mode mandiri, Anda perlu diaktifkan CloudTrail di akun Anda, telah dikonfigurasi untuk menulis log ke grup log CloudWatch dan memiliki izin yang cukup untuk membuat filter berlangganan pada grup log.
Tindakan berikut tidak akan diberitahu, ini baik:
Fungsionalitas ini dapat ditimpa dengan variabel variabel excluded_scoped_actions dan excluded_scoped_actions_effect . Daftar tindakan yang dikecualikan tersedia di Dokumen Terraform di bawah ini.
Laporkan masalah/pertanyaan/permintaan fitur di bagian masalah.
Pedoman yang berkontribusi penuh dicakup di sini.
| Nama | Keterangan | Jenis | Bawaan | Diperlukan |
|---|---|---|---|---|
| tambahan_iam_policy_statements | Peta Pernyataan Kebijakan Dinamis Untuk Melampirkan ke Peran Fungsi Lambda | any | {} | TIDAK |
| diizinkan_aws_principals_for_sns_subscribe | Daftar kepala sekolah AWS diizinkan untuk berlangganan topik SNS (hanya berlaku untuk penyebaran org). | list(string) | [] | TIDAK |
| cloudtrail_bucket_name | Bucket yang berisi log cloudtrail yang ingin Anda proses. ControlTower Bucket Name Mengikuti Konvensi Penamaan aws-controltower-logs-{{account_id}}-{{region}} | string | "" | TIDAK |
| cloudtrail_bucket_notifications_sns_arn | Topik SNS untuk pemberitahuan ember. Jika tidak disediakan, topik SNS baru akan dibuat bersama dengan konfigurasi pemberitahuan ember. | string | null | TIDAK |
| cloudtrail_log_group | Grup log CloudWatch untuk acara CloudTrail. | string | "" | TIDAK |
| create_iam_role | Menentukan apakah peran IAM dibuat atau menggunakan peran IAM yang ada | bool | true | TIDAK |
| event_batch_size | Acara Batch menjadi potongan event_batch_size | number | 100 | TIDAK |
| event_maximum_batching_window | Jendela batching maksimum dalam hitungan detik. | number | 300 | TIDAK |
| event_processing_timeout | Jumlah maksimum detik Lambda diizinkan untuk dijalankan dan jumlah acara detik harus disembunyikan di SQS setelah diambil lambda saya. | number | 60 | TIDAK |
| dikecualikan_accounts | Daftar akun yang dikecualikan untuk pemindaian pada tindakan manual. Ini mengambil lebih included_accounts | list(string) | [] | TIDAK |
| dikecualikan_scoped_actions | Daftar tindakan pelecehan layanan yang tidak akan diberitahu. Format {{service}}. Amazonaws.com: {caction}} | list(string) | [] | TIDAK |
| dikecualikan_scoped_actions_effect | Jika tindakan yang sudah ada yang ada diganti atau ditambahkan ke. Secara default itu akan ditambahkan ke daftar, nilai yang valid: Tambahkan, ganti | string | "APPEND" | TIDAK |
| tidak termasuk_users | Daftar alamat email tidak akan dilaporkan saat mempraktikkan ClickOps. | list(string) | [] | TIDAK |
| firehose_delivery_stream_name | Kinesis Firehose Nama Aliran Pengiriman untuk output Acara Clickops ke. | string | null | TIDAK |
| IAM_ROLE_ARN | Peran IAM yang ada untuk Lambda. Diperlukan jika create_iam_role diatur ke false | string | null | TIDAK |
| termasuk_accounts | Daftar akun yang dipindai untuk tindakan manual. Jika kosong akan memindai semua akun. | list(string) | [] | TIDAK |
| termasuk_users | Daftar email yang dipindai untuk tindakan manual. Jika kosong akan memindai semua email. | list(string) | [] | TIDAK |
| kms_key_id_for_sns_topic | KMS Kunci ID untuk mengenkripsi SNS_TOPIC (hanya berlaku untuk penyebaran org). | string | null | TIDAK |
| lambda_deployment_s3_bucket | S3 Bucket untuk Paket Penempatan Lambda. | string | null | TIDAK |
| lambda_deployment_s3_key | Kunci objek S3 untuk paket penyebaran lambda. Jika tidak, default ke var.naming_prefix/local.deployment_filename . | string | null | TIDAK |
| lambda_deployment_upload_to_s3_enabled | Jika true , paket penyebaran lambda dalam repo modul ini akan disalin ke S3. Jika false maka objek S3 harus diunggah secara terpisah. Diabaikan jika lambda_deployment_s3_bucket adalah nol. | bool | true | TIDAK |
| lambda_log_level | Level Lambda Logging. Salah satu dari: ["DEBUG", "INFO", "WARN", "ERROR"] . | string | "WARN" | TIDAK |
| lambda_memory_size | Jumlah memori untuk digunakan lambda | number | "128" | TIDAK |
| lambda_runtime | Runtime Lambda untuk digunakan. Salah satu dari: ["python3.9", "python3.8", "python3.7"] | string | "python3.8" | TIDAK |
| LOG_RETENTION_IN_DAYS | Jumlah hari untuk menjaga log cloudwatch | number | 14 | TIDAK |
| naming_prefix | Sumber daya akan diawali dengan ini | string | "clickops-notifier" | TIDAK |
| mandiri | Menyebarkan clickops di akun mandiri alih -alih ke seluruh organisasi AWS. Ideal untuk tim yang ingin memantau clickops hanya di akun mereka di mana itu tidak diinstrumentasi di tingkat organisasi. | bool | false | TIDAK |
| subcription_filter_distribution | Metode yang digunakan untuk mendistribusikan data log ke tujuan. Secara default data log dikelompokkan berdasarkan aliran log, tetapi pengelompokan dapat diatur ke acak untuk distribusi yang lebih rata. Properti ini hanya berlaku ketika tujuan adalah aliran Amazon Kinesis. Nilai yang valid adalah "acak" dan "bylogstream". | string | "Random" | TIDAK |
| tag | Tag untuk menambah sumber daya selain default_tags untuk penyedia | map(string) | {} | TIDAK |
| webhooks_for_msteams_notifications | Peta custom_name => webhook URL untuk pemberitahuan tim MS. https://learn.microsoft.com/en-us/microsoftteams/platform/webhooks-and-connectors/how-to/add-incoming-webhook?tabs=dotnet | map(string) | {} | TIDAK |
| webhooks_for_slack_notifications | Peta custom_name => webhook URL untuk pemberitahuan slack. https://api.slack.com/messaging/webhooks | map(string) | {} | TIDAK |
| Nama | Sumber | Versi |
|---|---|---|
| clickops_notifier_lambda | Terraform-Aws-Modules/Lambda/AWS | 4.9.0 |
| Nama | Keterangan |
|---|---|
| clickops_notifier_lambda | Mengekspos semua output dari modul lambda |
| sns_topic | Mengekspos detail pemberitahuan ember |
| sqs_queue | Ekspos detail SQS Notification SQS |
| Nama | Versi |
|---|---|
| AWS | > = 4.9 |
| Nama | Versi |
|---|---|
| Terraform | > = 0.15.0 |
| AWS | > = 4.9 |
| Nama | Jenis |
|---|---|
| aws_cloudwatch_log_subscription_filter.tipis | sumber |
| AWS_S3_BUCKET_NOTIFIKASI.BUCKET_NOTIFIKASI | sumber |
| AWS_S3_Object.deployment | sumber |
| aws_sns_topic.bucket_notifications | sumber |
| aws_sns_topic_policy.bucket_notifications | sumber |
| aws_sns_topic_subscription.bucket_notifications | sumber |
| aws_sqs_queue.bucket_notifications | sumber |
| aws_sqs_queue_policy.bucket_notifications | sumber |
| aws_ssm_parameter.webhooks_for_msteams | sumber |
| aws_ssm_parameter.webhooks_for_slack | sumber |
| AWS_CALLER_IDENTITY.CURRENT | sumber data |
| AWS_CLOUDWATCH_LOG_GROUP.THIS | sumber data |
| aws_iam_policy_document.bucket_notifications | sumber data |
| aws_iam_policy_document.lambda_permissions | sumber data |
| aws_iam_policy_document.sns_topic_policy_bucket_notifications | sumber data |
| AWS_REGION.CURRENT | sumber data |
locals {
ignored_scoped_events_built_in = [
" cognito-idp.amazonaws.com:InitiateAuth " ,
" cognito-idp.amazonaws.com:RespondToAuthChallenge " ,
" sso.amazonaws.com:Federate " ,
" sso.amazonaws.com:Authenticate " ,
" sso.amazonaws.com:Logout " ,
" sso.amazonaws.com:SearchUsers " ,
" sso.amazonaws.com:SearchGroups " ,
" sso.amazonaws.com:CreateToken " ,
" signin.amazonaws.com:UserAuthentication " ,
" signin.amazonaws.com:SwitchRole " ,
" signin.amazonaws.com:RenewRole " ,
" signin.amazonaws.com:ExternalIdPDirectoryLogin " ,
" signin.amazonaws.com:CredentialVerification " ,
" signin.amazonaws.com:CredentialChallenge " ,
" signin.amazonaws.com:CheckMfa " ,
" logs.amazonaws.com:StartQuery " ,
" cloudtrail.amazonaws.com:StartQuery " ,
" iam.amazonaws.com:SimulatePrincipalPolicy " ,
" iam.amazonaws.com:GenerateServiceLastAccessedDetails " ,
" glue.amazonaws.com:BatchGetJobs " ,
" glue.amazonaws.com:BatchGetCrawlers " ,
" glue.amazonaws.com:StartJobRun " ,
" glue.amazonaws.com:StartCrawler " ,
" athena.amazonaws.com:StartQueryExecution " ,
" servicecatalog.amazonaws.com:SearchProductsAsAdmin " ,
" servicecatalog.amazonaws.com:SearchProducts " ,
" servicecatalog.amazonaws.com:SearchProvisionedProducts " ,
" servicecatalog.amazonaws.com:TerminateProvisionedProduct " ,
" cloudshell.amazonaws.com:CreateSession " ,
" cloudshell.amazonaws.com:PutCredentials " ,
" cloudshell.amazonaws.com:SendHeartBeat " ,
" cloudshell.amazonaws.com:CreateEnvironment " ,
" kms.amazonaws.com:Decrypt " ,
" kms.amazonaws.com:RetireGrant " ,
" trustedadvisor.amazonaws.com:RefreshCheck " ,
# Must CreateMultipartUpload before uploading any parts.
" s3.amazonaws.com:UploadPart " ,
" s3.amazonaws.com:UploadPartCopy " ,
" route53domains:TransferDomain " ,
" support.amazonaws.com:AddAttachmentsToSet " ,
" support.amazonaws.com:AddCommunicationToCase " ,
" support.amazonaws.com:CreateCase " ,
" support.amazonaws.com:InitiateCallForCase " ,
" support.amazonaws.com:InitiateChatForCase " ,
" support.amazonaws.com:PutCaseAttributes " ,
" support.amazonaws.com:RateCaseCommunication " ,
" support.amazonaws.com:RefreshTrustedAdvisorCheck " ,
" support.amazonaws.com:ResolveCase " ,
" grafana.amazonaws.com:login_auth_sso " ,
]
}
