为 AWS Config 规则指定触发器
在向账户中添加规则时,您可以指定希望 AWS Config 何时运行此规则;这称作触发器。当触发器触发时,AWS Config 对照规则评估您的资源配置。
触发器类型
触发器有两种类型:
- 配置更改
-
当创建、更改或删除特定类型的资源时,AWS Config 会针对规则运行评估。
通过定义规则的范围来选择哪些资源触发评估。范围可以包括:
-
一个或多个资源类型
-
资源类型和资源 ID 的组合
-
标签键和值的组合
-
当创建、更新或删除任何记录的资源时
AWS Config 在检测到与规则的范围匹配的资源发生更改时运行评估。您可以使用范围来限制哪些资源触发评估。否则,当任何已记录的资源出现更改时,都会触发评估。
-
- 定期
-
AWS Config 按照您选择的频率运行规则的评估(例如,每 24 小时)。
如果您选择配置更改和定期,则 AWS Config 将在检测到配置更改时调用您的 Lambda 函数,并按照您指定的频率进行。
具有触发器的规则示例
具有配置更改触发器的规则示例
-
向账户添加 AWS Config 托管规则
S3_BUCKET_LOGGING_ENABLED以检查您的 Amazon S3 存储桶是否启用了日志记录。 -
此规则的触发器类型为配置更改。当创建、更改或删除 Amazon S3 存储桶时,AWS Config 将针对规则运行评估。
-
当存储桶更新时,配置更改触发此规则,AWS Config 评估存储桶是否符合此规则。
具有定期触发器的示例规则
-
向账户添加 AWS Config 托管规则
IAM_PASSWORD_POLICY。此规则检查您的 IAM 用户的密码策略是否遵守您的账户策略,如最小长度或特定字符要求。 -
此规则的触发器类型为定期。AWS Config 将按您指定的频率(如每 24 小时)针对规则运行评估。
-
此规则每 24 小时触发一次,并且 AWS Config 将评估您的 IAM 用户的密码是否符合规则。
具有配置更改和定期触发器的示例规则
-
您创建一条自定义规则以评估自己的账户是否启用了 CloudTrail 跟踪并针对所有区域开启了日志记录。
-
您希望每当有跟踪创建、更新或删除时 AWS Config 都运行规则评估。您还希望 AWS Config 每 12 小时运行一次规则。
-
对于触发器类型,选择配置更改和定期。
关闭配置记录器时的规则评估
如果您关闭配置记录器,AWS Config 将停止记录对您资源配置的更改。这会在以下方面影响到您的规则评估:
-
具有定期触发器的规则将按照指定的频率持续运行评估。
-
具有配置更改触发器的规则不运行评估。
-
具有两种触发器类型的规则仅按照指定的频率运行评估。规则不为配置更改运行评估。
-
如果您针对具有配置更改触发器的规则运行按需评估,则规则将评估资源的最后已知状态,这是最后一个记录的配置项目。