Amazon Config 使用 Amazon 进行监控 EventBridge - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Config 使用 Amazon 进行监控 EventBridge

Amazon EventBridge 提供了描述 Amazon 资源变化的近乎实时的系统事件流。使用 Amazon EventBridge 来检测 Amazon Config 事件状态的变化并做出反应。

您可以创建一个规则,只要状态发生变换或者在变换到一个或多个感兴趣的状态时,就运行该规则。然后,当事件与您在规则中指定的值相匹配时,Amazon 会根据您创建的规则 EventBridge 调用一个或多个目标操作。根据事件类型,您可能想要发送通知、捕获事件信息、采取纠正措施、启动事件或采取其他操作。

但是 Amazon Config,在为创建事件规则之前,应执行以下操作:

Amazon EventBridge 格式为 Amazon Config

EventBridge 的事件 Amazon Config 采用以下格式:

{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "event type", "source": "aws.config", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [ resources ], "detail": { specific message type } }

为以下各项创建亚马逊 EventBridge 规则 Amazon Config

使用以下步骤创建触发事件的 EventBridge 规则。 Amazon Config尽最大努力发出事件。

  1. 在导航窗格中,选择规则

  2. 选择创建规则

  3. 为规则输入名称和描述。

    规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。

  4. 对于规则类型,选择具有事件模式的规则

  5. 对于事件来源,选择Amazon 事件或 EventBridge 合作伙伴事件

  6. (可选)对于示例事件类型,选择 Amazon 事件

  7. (可选)对于示例事件,选择用于触发此规则的事件类型:

  8. 对于创建方法,选择使用模式表单

  9. 对于事件源,选择Amazon 服务

  10. 对于 Amazon 服务,请选择 Config

  11. 对于事件类型,选择用于触发此规则的事件类型:

  12. 选择 Any message type 以接收任何类型的通知。选择 Specific message type(s) 以接收以下类型的通知:

    • 如果您愿意 ConfigurationItemChangeNotification,则在 Amazon Config 评估的资源的配置发生变化时,您会收到消息。

    • 如果您愿意 ComplianceChangeNotification,则在 Amazon Config 评估的资源的合规性类型发生变化时,您会收到消息。

    • 如果您愿意 ConfigRulesEvaluationStarted,则在 Amazon Config 开始针对指定资源评估您的规则时,您会收到消息。

    • 如果您愿意 ConfigurationSnapshotDeliveryCompleted,则在 Amazon Config 成功将配置快照传送到您的 Amazon S3 存储桶时,您会收到消息。

    • 如果您愿意 ConfigurationSnapshotDeliveryFailed,则在 Amazon Config 无法将配置快照传送到您的 Amazon S3 存储桶时,您会收到消息。

    • 如果您愿意 ConfigurationSnapshotDeliveryStarted,则在 Amazon Config 开始将配置快照传送到您的 Amazon S3 存储桶时会收到消息。

    • 如果您愿意 ConfigurationHistoryDeliveryCompleted,则在 Amazon Config 成功将配置历史记录传送到您的 Amazon S3 存储桶时,您会收到消息。

  13. 如果您从 “事件类型” 下拉列表中选择了特定的事件类型,请选择 “任何资源类型”,以制定适用于所有 Amazon Config 支持的资源类型的规则。

    或者,选择 Specific resource type(s) (特定资源类型),然后键入 Amazon Config 支持的资源类型(例如,AWS::EC2::Instance)。

  14. 如果您从事件类型下拉列表中选择了某个特定事件类型,请选择任何资源 ID,以包括 Amazon Config 支持的任何资源 ID。

    或者,选择 Specific resource ID(s) (特定资源 ID),然后键入 Amazon Config 支持的资源 ID(例如,i-04606de676e635647)。

  15. 如果您从事件类型下拉列表中选择了某个特定事件类型,请选择任何规则名称,以包括 Amazon Config 支持的任何规则。

    或者,选择 Specific rule name(s) (特定规则名称),然后键入 Amazon Config 支持的规则(例如,required-tags)。

  16. 对于选择目标,选择您准备为此规则使用的目标类型,然后配置该类型所需的任何其他选项。

  17. 显示的字段因您选择的服务而异。根据需要输入此目标类型的特定信息。

  18. 对于许多目标类型, EventBridge 需要向目标发送事件的权限。在这些情况下, EventBridge 可以创建规则运行所需的 IAM 角色。

    • 若要自动创建 IAM 角色,请选择 Create a new role for this specific resource (为此特定资源创建新角色)

    • 要使用您之前创建的 IAM 角色,请选择 Use existing role (使用现有角色)

  19. (可选)选择 Add target (添加目标),以便为此规则添加另一个目标。

  20. (可选)为规则输入一个或多个标签。有关更多信息,请参阅 Amazon EventBridge 标签

  21. 审查您的规则设置以确保其符合事件监控要求。

  22. 选择创建以确认您的选择。