为 AWS Config 规则指定触发器 - AWS Config
触发器类型具有触发器的规则示例关闭配置记录器时的规则评估
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 AWS Config 规则指定触发器

在向账户中添加规则时,您可以指定希望 AWS Config 何时运行此规则;这称作触发器。当触发器触发时,AWS Config 对照规则评估您的资源配置。

触发器类型

触发器有两种类型:

配置更改

当创建、更改或删除特定类型的资源时,AWS Config 会针对规则运行评估。

通过定义规则的范围来选择哪些资源触发评估。范围可以包括:

  • 一个或多个资源类型

  • 资源类型和资源 ID 的组合

  • 标签键和值的组合

  • 当创建、更新或删除任何记录的资源时

AWS Config 在检测到与规则的范围匹配的资源发生更改时运行评估。您可以使用范围来限制哪些资源触发评估。否则,当任何已记录的资源出现更改时,都会触发评估。

定期

AWS Config 按照您选择的频率运行规则的评估(例如,每 24 小时)。

如果您选择配置更改和定期,则 AWS Config 将在检测到配置更改时调用您的 Lambda 函数,并按照您指定的频率进行。

具有触发器的规则示例

具有配置更改触发器的规则示例

  1. 向账户添加 AWS Config 托管规则 S3_BUCKET_LOGGING_ENABLED 以检查您的 Amazon S3 存储桶是否启用了日志记录。

  2. 此规则的触发器类型为配置更改。当创建、更改或删除 Amazon S3 存储桶时,AWS Config 将针对规则运行评估。

  3. 当存储桶更新时,配置更改触发此规则,AWS Config 评估存储桶是否符合此规则。

具有定期触发器的示例规则

  1. 向账户添加 AWS Config 托管规则 IAM_PASSWORD_POLICY。此规则检查您的 IAM 用户的密码策略是否遵守您的账户策略,如最小长度或特定字符要求。

  2. 此规则的触发器类型为定期。AWS Config 将按您指定的频率(如每 24 小时)针对规则运行评估。

  3. 此规则每 24 小时触发一次,并且 AWS Config 将评估您的 IAM 用户的密码是否符合规则。

具有配置更改和定期触发器的示例规则

  1. 您创建一条自定义规则以评估自己的账户是否启用了 CloudTrail 跟踪并针对所有区域开启了日志记录。

  2. 您希望每当有跟踪创建、更新或删除时 AWS Config 都运行规则评估。您还希望 AWS Config 每 12 小时运行一次规则。

  3. 对于触发器类型,选择配置更改和定期。

关闭配置记录器时的规则评估

如果您关闭配置记录器,AWS Config 将停止记录对您资源配置的更改。这会在以下方面影响到您的规则评估:

  • 具有定期触发器的规则将按照指定的频率持续运行评估。

  • 具有配置更改触发器的规则不运行评估。

  • 具有两种触发器类型的规则仅按照指定的频率运行评估。规则不为配置更改运行评估。

  • 如果您针对具有配置更改触发器的规则运行按需评估,则规则将评估资源的最后已知状态,这是最后一个记录的配置项目。