本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Config 使用 Amazon 进行监控 EventBridge
Amazon EventBridge 提供了描述 Amazon 资源变化的近乎实时的系统事件流。使用 Amazon EventBridge 来检测 Amazon Config 事件状态的变化并做出反应。
您可以创建一个规则,只要状态发生变换或者在变换到一个或多个感兴趣的状态时,就运行该规则。然后,当事件与您在规则中指定的值相匹配时,Amazon 会根据您创建的规则 EventBridge 调用一个或多个目标操作。根据事件类型,您可能想要发送通知、捕获事件信息、采取纠正措施、启动事件或采取其他操作。
但是 Amazon Config,在为其创建事件规则之前,应执行以下操作:
-
熟悉中的事件、规则和目标。 EventBridge有关更多信息,请参阅什么是亚马逊 EventBridge?
-
有关如何开始使用 EventBridge 和设置规则的更多信息,请参阅 Amazon 入门 EventBridge。
-
创建将在您的事件规则中使用的目标。
注意事项
如果您不使用以下资源类型录制警报,则不会通过 EventBridge 以下方式接收警报 Amazon Config:
AWS::ACM::CertificateAWS::CloudTrail::TrailAWS::CloudWatch::AlarmAWS::EC2::CustomerGatewayAWS::EC2::EIPAWS::EC2::HostAWS::EC2::InstanceAWS::EC2::InternetGatewayAWS::EC2::NetworkAclAWS::EC2::NetworkInterfaceAWS::EC2::RouteTableAWS::EC2::SecurityGroupAWS::EC2::SubnetAWS::EC2::VPCAWS::EC2::VPNConnectionAWS::EC2::VPNGatewayAWS::EC2::VolumeAWS::ElasticLoadBalancingV2::LoadBalancerAWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::RoleAWS::IAM::UserAWS::RDS::DBInstanceAWS::RDS::DBSecurityGroupAWS::RDS::DBSnapshotAWS::RDS::DBSubnetGroupAWS::RDS::EventSubscriptionAWS::Redshift::ClusterAWS::Redshift::ClusterParameterGroupAWS::Redshift::ClusterSecurityGroupAWS::Redshift::ClusterSnapshotAWS::Redshift::ClusterSubnetGroupAWS::Redshift::EventSubscriptionAWS::S3::Bucket
Amazon EventBridge 格式为 Amazon Config
EventBridge 的事件 Amazon Config 采用以下格式:
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "event type", "source": "aws.config", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [resources], "detail": {specific message type} }
为以下各项创建亚马逊 EventBridge 规则 Amazon Config
使用以下步骤创建触发事件的 EventBridge 规则。 Amazon Config尽最大努力发出事件。
-
在导航窗格中,选择规则。
-
选择创建规则。
-
为规则输入名称和描述。
规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。
注意
事件总线接收来自源的事件,使用规则对其进行评估,应用任何配置的输入转换,并将它们路由到相应的目标。您账户的默认事件总线接收来自的事件 Amazon Web Services 服务。自定义事件总线可以接收来自您的自定义应用程序和服务的事件。合作伙伴事件总线接收来自 SaaS 合作伙伴创建的事件源的事件。这些事件来自合作伙伴的服务或应用程序。有关更多信息,请参阅《亚马逊 EventBridge 用户指南》 EventBridge中的 Amaz on 事件总线。
-
对于规则类型,选择具有事件模式的规则。
-
对于事件来源,选择Amazon 事件或 EventBridge 合作伙伴事件。
-
(可选)对于示例事件类型,选择 Amazon 事件。
-
(可选)对于示例事件,选择用于触发此规则的事件类型:
-
选择 Amazon API 调用来源 CloudTrail以根据对此服务进行的 API 调用制定规则。有关创建此类规则的更多信息,请参阅教程:为 Amazon CloudTrail API 调用创建 Amazon EventBridge 规则。
-
选择 Config Configuration Item Change 以在您账户中的资源发生更改时获取通知。
如这些支持文章中所述,在创建或删除资源时,您可以使用 EventBridge 接收自定义电子邮件通知。在我的 using Amazon Config 服务中创建资源时,如何接收自定义电子邮件通知? Amazon Web Services 账户
以及当我的 Amazon Web Services 账户 使用 Amazon Config 服务中的资源被删除时,如何才能收到自定义电子邮件通知? 。 -
选择 Config Rules Compliance Change 以在对您的规则进行合规性检查失败时获取通知。
如本支持文章所述,当资源不合规时,您可以使用 EventBridge 接收自定义电子邮件通知,当资源不合规时,如何使用通知我
? Amazon Amazon Config。 -
选择 Config Rules Re-evaluation Status 以获取重新评估状态通知。
-
选择 Config Configuration Snapshot Delivery Status 以获取配置快照传输状态通知。
-
选择 Config Configuration History Delivery Status 以获取配置历史记录传输状态通知。
-
-
对于创建方法,选择使用模式表单。
-
对于事件源,选择Amazon 服务。
-
对于 Amazon 服务,请选择 Config。
-
对于事件类型,选择用于触发此规则的事件类型:
-
选择 “所有事件” 以制定适用于所有 Amazon 服务的规则。如果选择此选项,则无法选择特定的消息类型、规则名称、资源类型或资源 IDs。
-
选择 Amazon API 调用来源 CloudTrail以根据对此服务进行的 API 调用制定规则。有关创建此类规则的更多信息,请参阅教程:为 Amazon CloudTrail API 调用创建 Amazon EventBridge 规则。
-
选择 Config Configuration Item Change 以在您账户中的资源发生更改时获取通知。
如这些支持文章中所述,在创建或删除资源时,您可以使用 EventBridge 接收自定义电子邮件通知。在我的 using Amazon Config 服务中创建资源时,如何接收自定义电子邮件通知? Amazon Web Services 账户
以及当我的 Amazon Web Services 账户 使用 Amazon Config 服务中的资源被删除时,如何才能收到自定义电子邮件通知? 。 -
选择 Config Rules Compliance Change 以在对您的规则进行合规性检查失败时获取通知。
如本支持文章所述,当资源不合规时,您可以使用 EventBridge 接收自定义电子邮件通知,当资源不合规时,如何使用通知我
? Amazon Amazon Config。 -
选择 Config Rules Re-evaluation Status 以获取重新评估状态通知。
-
选择 Config Configuration Snapshot Delivery Status 以获取配置快照传输状态通知。
-
选择 Config Configuration History Delivery Status 以获取配置历史记录传输状态通知。
-
-
选择 Any message type 以接收任何类型的通知。选择 Specific message type(s) 以接收以下类型的通知:
-
如果您愿意 ConfigurationItemChangeNotification,则在 Amazon Config 评估的资源的配置发生变化时,您会收到消息。
-
如果您愿意 ComplianceChangeNotification,则在 Amazon Config 评估的资源的合规性类型发生变化时,您会收到消息。
-
如果您愿意 ConfigRulesEvaluationStarted,则在 Amazon Config 开始针对指定资源评估您的规则时,您会收到消息。
-
如果您愿意 ConfigurationSnapshotDeliveryCompleted,则在 Amazon Config 成功将配置快照传送到您的 Amazon S3 存储桶时,您会收到消息。
-
如果您愿意 ConfigurationSnapshotDeliveryFailed,则在 Amazon Config 无法将配置快照传送到您的 Amazon S3 存储桶时,您会收到消息。
-
如果您愿意 ConfigurationSnapshotDeliveryStarted,则在 Amazon Config 开始将配置快照传送到您的 Amazon S3 存储桶时会收到消息。
-
如果您愿意 ConfigurationHistoryDeliveryCompleted,则在 Amazon Config 成功将配置历史记录传送到您的 Amazon S3 存储桶时,您会收到消息。
-
-
如果您从 “事件类型” 下拉列表中选择了特定的事件类型,请选择 “任何资源类型”,以制定适用于所有 Amazon Config 支持的资源类型的规则。
或者,选择 Specific resource type(s) (特定资源类型),然后键入 Amazon Config 支持的资源类型(例如,
AWS::EC2::Instance)。 -
如果您从事件类型下拉列表中选择了某个特定事件类型,请选择任何资源 ID,以包括 Amazon Config 支持的任何资源 ID。
或者,选择 Specific resource ID(s) (特定资源 ID),然后键入 Amazon Config 支持的资源 ID(例如,
i-04606de676e635647)。 -
如果您从事件类型下拉列表中选择了某个特定事件类型,请选择任何规则名称,以包括 Amazon Config 支持的任何规则。
或者,选择 Specific rule name(s) (特定规则名称),然后键入 Amazon Config 支持的规则(例如,required-tags)。
-
对于选择目标,选择您准备为此规则使用的目标类型,然后配置该类型所需的任何其他选项。
-
显示的字段因您选择的服务而异。根据需要输入此目标类型的特定信息。
-
对于许多目标类型, EventBridge 需要向目标发送事件的权限。在这些情况下, EventBridge 可以创建规则运行所需的 IAM 角色。
-
若要自动创建 IAM 角色,请选择 Create a new role for this specific resource (为此特定资源创建新角色)。
-
要使用您之前创建的 IAM 角色,请选择 Use existing role (使用现有角色)。
-
-
(可选)选择 Add target (添加目标),以便为此规则添加另一个目标。
-
(可选)为规则输入一个或多个标签。有关更多信息,请参阅 Amazon EventBridge 标签。
-
审查您的规则设置以确保其符合事件监控要求。
-
选择创建以确认您的选择。