AWS Config
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

为 AWS Config 规则指定触发器

在向账户中添加规则时,您可以指定希望 AWS Config 何时运行此规则;这称作触发器。当触发器触发时,AWS Config 对照规则对您的资源配置进行评估。

触发器类型

触发器有两种类型:

配置更改

当创建、更改或删除特定类型的资源时,AWS Config 会针对规则运行评估。

通过定义规则的范围来选择哪些资源触发评估。范围可以包括:

  • 一个或多个资源类型

  • 资源类型和资源 ID 的组合

  • 标签键和值的组合

  • 当创建、更新或删除任何记录的资源时

AWS Config 在检测到与规则的范围匹配的资源发生更改时运行评估。您可以使用范围来限制哪些资源触发评估。否则,当任何已记录的资源出现更改时,都会触发评估。

定期

AWS Config 按照您选择的频率运行规则的评估(例如,每 24 小时)。

如果您选择进行配置更改和定期,AWS Config 会在检测到配置更改时调用您到 Lambda 函数,并按照您指定的频率进行。

具有触发器的规则示例

具有配置更改触发器的规则示例

  1. 通过向账户中添加 AWS Config 托管规则 S3_BUCKET_LOGGING_ENABLED 来检查您的 Amazon S3 存储桶是否启用了日志记录。

  2. 此规则的触发器类型为配置更改。在创建、更改或删除 Amazon S3 存储桶时,AWS Config 运行规则评估。

  3. 当存储桶更新时,配置更改触发此规则,AWS Config 评估存储桶是否符合此规则。

具有定期触发器的示例规则

  1. 向账户中添加 AWS Config 托管规则 IAM_PASSWORD_POLICY。此规则检查您的 IAM 用户的密码策略是否遵守您的账户策略,如最小长度或特定字符要求。

  2. 此规则的触发器类型为定期。AWS Config 以您指定的频率 (如每 24 小时) 运行规则评估。

  3. 此规则每 24 小时触发一次,并由 AWS Config 评估您的 IAM 用户的密码是否符合规则。

具有配置更改和定期触发器的示例规则

  1. 您创建一条自定义规则以评估自己的账户是否启用了 CloudTrail 跟踪并针对所有区域开启了日志记录。

  2. 您希望每当有跟踪创建、更新或删除时 AWS Config 都运行规则评估。您还希望 AWS Config 每 12 小时运行一次规则。

  3. 对于触发器类型,选择配置更改和定期。

关闭配置记录器时的规则评估

如果您关闭配置记录器,AWS Config 将停止记录对您资源配置的更改。这会在以下方面影响到您的规则评估:

  • 具有定期触发器的规则将按照指定的频率持续运行评估。

  • 具有配置更改触发器的规则不运行评估。

  • 具有两种触发器类型的规则仅按照指定的频率运行评估。规则不为配置更改运行评估。

  • 如果您为具有配置更改触发器的规则运行按需评估,规则将评估资源的最后已知状态,这是最后记录的配置项目。有关按需评估的更多信息,请参阅手动评估您的资源