组生命周期事件:监控资源组的更改 - Amazon Resource Groups
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组生命周期事件:监控资源组的更改

使用 Amazon Resource Groups 将资源整理成组滞后,您可以监控这些组中是否有作为事件向您公开的更改。您可以收到有关组活动的通知,以此作为您采取某种操作的信号。例如,您可以配置在组成员资格发生更改时发送的通知。您可以使用添加新组成员时发生的事件来触发 Lambda 函数,该函数以编程方式审查更改,以确保新的组成员符合组织设定的合规性要求。此类 Lambda 函数可以对任何未能满足这些要求的新组成员执行自动补救措施。因移除组成员而导致的事件可能会触发 Lambda 函数,该函数执行任何必要的清理,例如删除链接的资源。

通过为资源组开启组生命周期事件,您可以允许 Amazon EventBridge 捕获与组更改有关的事件,并将其提供给 EventBridge 支持的各种目标服务。然后,您可以将这些目标服务配置为自动执行场景所需的任何操作。这些目标包括各种 Amazon 服务,例如 Amazon Simple Notification Service(Amazon SNS)、Amazon Simple Queue Service(Amazon SQS)和 Amazon Lambda。借助 Lambda 之类的服务,您的事件可以触发使用代码执行所需操作的编程响应。有关您可以通过 EventBridge 定位的 Amazon 服务列表,请参阅 Amazon EventBridge 用户指南中的 Amazon EventBridge 目标

开启组生命周期事件时,Amazon Resource Groups 会创建以下项目:

  • 一个 Amazon Identity and Access Management(IAM)服务关联角色,该角色有权监控您的资源标签是否有任何更改,并有权监控 Amazon CloudFormation 堆栈中资源的任何更改。

  • Resource Groups 托管 EventBridge 规则,用于捕获资源的任何标签或堆栈更改的详细信息。EventBridge 使用此规则将这些更改通知给 Resource Groups。然后,Resource Groups 生成成员资格事件,发送到 EventBridge 以供您的自定义规则处理。

服务关联角色只能由 Resource Groups 服务担任。有关 Resource Groups 为此功能使用的服务关联角色的更多信息,请参阅 为 Resource Groups 使用服务相关角色

开启此功能后,当您对资源组进行以下任何更改时,Resource Groups 会生成一个事件:

  • 创建新资源组。

  • 更新定义基于查询的资源组成员资格的查询。

  • 更新服务关联资源组的配置。

  • 更新资源组的描述。

  • 删除资源组。

  • 通过在资源组中添加或移除资源来更改资源组的成员资格。当标签更改或 Amazon CloudFormation 堆栈更改时,也可能发生成员资格更改。

重要
  • 要成功接收和响应组事件,您必须对 Resource Groups 和 EventBridge 进行更改。您可以按任意顺序执行更改,但是在您对两个服务进行更改之前,不会将任何组事件发布到 EventBridge 目标。

  • 资源组的更改不包括对附加到资源组本身的任何标签的更改。要根据组的标签更改生成事件,您必须使用特定的 EventBridge 规则,该规则使用 aws.tag 来源,而不是 aws.resource-groups 来源。有关更多信息,请参阅 Amazon EventBridge 用户指南中的 Amazon Resources 上的标签更改事件