组生命周期事件:监控资源组的更改 - Amazon Resource Groups
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组生命周期事件:监控资源组的更改

使用 Amazon Resource Groups 将资源组织成组后,您可以监视这些组中是否有作为事件向您公开的更改。您可以收到有关组活动的通知,以此作为您采取某种操作的信号。例如,您可以配置在组成员资格发生更改时发送的通知。您可以使用添加新组成员时发生的事件来触发 Lambda 函数,该函数以编程方式审查更改,以确保新的组成员符合组织设定的合规性要求。此类 Lambda 函数可以对任何未能满足这些要求的新组成员执行自动补救措施。因移除组成员而导致的事件可能会触发 Lambda 函数,该函数执行任何必要的清理,例如删除链接的资源。

通过为资源组开启群组生命周期事件,您可以允许 Amazon 捕获有关群组变更的事件, EventBridge 并将其提供给所有受 EventBridge 支持的目标服务。然后,您可以将这些目标服务配置为自动执行场景所需的任何操作。这些目标包括各种 Amazon 服务,例如亚马逊简单通知服务 (亚马逊SNS)、亚马逊简单队列服务 (亚马逊SQS) 和 Amazon Lambda。借助 Lambda 之类的服务,您的事件可以触发使用代码执行所需操作的编程响应。有关您可以定位的 Amazon 服务列表 EventBridge,请参阅《亚马逊 EventBridge 用户指南》中的亚马逊 EventBridge 目标

开启群组生命周期事件时, Amazon Resource Groups 会创建以下项目:

  • 一个 Amazon Identity and Access Management (IAM) 服务相关角色,有权监控您的资源标签是否有任何更改,并有权监控 Amazon CloudFormation 堆栈中资源的任何更改。

  • Resource Groups 托管 EventBridge 规则,用于捕获资源的任何标签或堆栈更改的详细信息。 EventBridge 使用此规则将这些更改通知资源组。然后,Resource Groups 会生成要发送的成员资格事件, EventBridge 供您的自定义规则处理。

服务关联角色只能由 Resource Groups 服务担任。有关 Resource Groups 为此功能使用的服务关联角色的更多信息,请参阅 为 Resource Groups 使用服务相关角色

开启此功能后,当您对资源组进行以下任何更改时,Resource Groups 会生成一个事件:

  • 创建新资源组。

  • 更新定义基于查询的资源组成员资格的查询。

  • 更新服务关联资源组的配置。

  • 更新资源组的描述。

  • 删除资源组。

  • 通过在资源组中添加或移除资源来更改资源组的成员资格。当标签更改或 Amazon CloudFormation 堆栈发生变化时,也可能发生成员资格变更。

重要
  • 要成功接收和响应群组事件,必须同时对 Resource Groups 和 EventBridge。您可以按任意顺序执行更改,但是在您对两个服务进行更改之前,不会将任何群组事件发布到 EventBridge 目标。

  • 资源组的更改不包括对附加到资源组本身的任何标签的更改。要根据群组的标签更改生成事件,必须使用使用aws.tag源而不是来源的 EventBridge aws.resource-groups规则。有关更多信息,请参阅 Amazon EventBridge 用户指南中的Amazon 资源标签变更事件