本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon Config 规则指定触发器
在向账户中添加规则时,您可以指定希望 Amazon Config 何时运行此规则;这称作触发器。当触发器触发时,Amazon Config 对照规则评估您的资源配置。
触发器类型
触发器有两种类型:
- 配置更改
-
当创建、更改或删除特定类型的资源时,Amazon Config 会针对规则运行评估。
通过定义规则的范围来选择哪些资源触发评估。范围可以包括:
-
一个或多个资源类型
-
资源类型和资源 ID 的组合
-
标签键和值的组合
-
当创建、更新或删除任何记录的资源时
Amazon Config 在检测到与规则的范围匹配的资源发生更改时运行评估。您可以使用范围来限制哪些资源触发评估。否则,当任何已记录的资源出现更改时,都会触发评估。
-
- 定期
-
Amazon Config 按照您选择的频率运行规则的评估(例如,每 24 小时)。
如果您选择配置更改和定期更改,Amazon Config在检测到配置更改时调用您的 Lambda 函数,同时以您指定的频率调用。
具有触发器的规则示例
具有配置更改触发器的规则示例
-
你添加Amazon Config托管规则,
S3_BUCKET_LOGGING_ENABLED
,发送到您的账户以检查您的 Amazon S3 存储桶是否启用了日志记录。 -
该规则的触发类型是配置更改。Amazon Config在创建、更改或删除 Amazon S3 存储桶时运行规则评估。
-
当存储桶更新时,配置更改触发此规则,Amazon Config 评估存储桶是否符合此规则。
具有定期触发器的示例规则
-
向账户添加 Amazon Config 托管规则
IAM_PASSWORD_POLICY
。该规则检查您的 IAM 用户的密码策略是否符合您的账户策略,例如要求最小长度或要求特定字符。 -
此规则的触发器类型为定期。Amazon Config 将按您指定的频率(如每 24 小时)针对规则运行评估。
-
每 24 小时触发一次规则,Amazon Config评估您的 IAM 用户的密码是否符合规则。
具有配置更改和定期触发器的示例规则
-
您可以创建一个自定义规则来评估是否 CloudTrail 您的账户中的跟踪已开启并记录所有区域。
-
您希望每当有跟踪创建、更新或删除时 Amazon Config 都运行规则评估。您还希望 Amazon Config 每 12 小时运行一次规则。
-
对于触发器类型,选择配置更改和定期。
关闭配置记录器时的规则评估
如果您关闭配置记录器,Amazon Config 将停止记录对您资源配置的更改。这会在以下方面影响到您的规则评估:
-
具有定期触发器的规则将按照指定的频率持续运行评估。
-
具有配置更改触发器的规则不运行评估。
-
具有两种触发器类型的规则仅按照指定的频率运行评估。规则不为配置更改运行评估。
-
如果您对带有配置更改触发器的规则运行按需评估,则该规则将评估资源的最新已知状态,即最后记录的配置项目。