为 Amazon Config 规则指定触发器 - Amazon Config
触发器类型具有触发器的规则示例关闭配置记录器时的规则评估
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Config 规则指定触发器

在向账户中添加规则时,您可以指定希望 Amazon Config 何时运行此规则;这称作触发器。当触发器触发时,Amazon Config 对照规则评估您的资源配置。

触发器类型

触发器有两种类型:

配置更改

当创建、更改或删除特定类型的资源时,Amazon Config 会针对规则运行评估。

通过定义规则的范围来选择哪些资源触发评估。范围可以包括:

  • 一个或多个资源类型

  • 资源类型和资源 ID 的组合

  • 标签键和值的组合

  • 当创建、更新或删除任何记录的资源时

Amazon Config 在检测到与规则的范围匹配的资源发生更改时运行评估。您可以使用范围来限制哪些资源触发评估。否则,当任何已记录的资源出现更改时,都会触发评估。

定期

Amazon Config 按照您选择的频率运行规则的评估(例如,每 24 小时)。

如果您选择配置更改和定期更改,Amazon Config在检测到配置更改时调用您的 Lambda 函数,同时以您指定的频率调用。

具有触发器的规则示例

具有配置更改触发器的规则示例

  1. 你添加Amazon Config托管规则,S3_BUCKET_LOGGING_ENABLED,发送到您的账户以检查您的 Amazon S3 存储桶是否启用了日志记录。

  2. 该规则的触发类型是配置更改。Amazon Config在创建、更改或删除 Amazon S3 存储桶时运行规则评估。

  3. 当存储桶更新时,配置更改触发此规则,Amazon Config 评估存储桶是否符合此规则。

具有定期触发器的示例规则

  1. 向账户添加 Amazon Config 托管规则 IAM_PASSWORD_POLICY。该规则检查您的 IAM 用户的密码策略是否符合您的账户策略,例如要求最小长度或要求特定字符。

  2. 此规则的触发器类型为定期。Amazon Config 将按您指定的频率(如每 24 小时)针对规则运行评估。

  3. 每 24 小时触发一次规则,Amazon Config评估您的 IAM 用户的密码是否符合规则。

具有配置更改和定期触发器的示例规则

  1. 您可以创建一个自定义规则来评估是否 CloudTrail 您的账户中的跟踪已开启并记录所有区域。

  2. 您希望每当有跟踪创建、更新或删除时 Amazon Config 都运行规则评估。您还希望 Amazon Config 每 12 小时运行一次规则。

  3. 对于触发器类型,选择配置更改和定期。

关闭配置记录器时的规则评估

如果您关闭配置记录器,Amazon Config 将停止记录对您资源配置的更改。这会在以下方面影响到您的规则评估:

  • 具有定期触发器的规则将按照指定的频率持续运行评估。

  • 具有配置更改触发器的规则不运行评估。

  • 具有两种触发器类型的规则仅按照指定的频率运行评估。规则不为配置更改运行评估。

  • 如果您对带有配置更改触发器的规则运行按需评估,则该规则将评估资源的最新已知状态,即最后记录的配置项目。