AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 Amazon CloudWatch Events 监控 AWS Config

Amazon CloudWatch Events 提供近乎实时的系统事件流以描述 AWS 资源变化。使用 Amazon CloudWatch Events 检测 AWS Config 事件状态的变更并对其进行响应。

您可以创建一个规则,只要状态发生变换或者在变换到一个或多个感兴趣的状态时,就运行该规则。然后,Amazon CloudWatch Events 会根据您创建的规则,在事件匹配您在规则中指定的值时调用一个或多个目标操作。根据事件类型,您可能想要发送通知、捕获事件信息、采取纠正措施、启动事件或采取其他操作。

然而,在为 AWS Config 创建事件规则之前,您应当执行以下操作:

AWS Config 的 Amazon CloudWatch Events 格式

AWS Config 的 CloudWatch 事件具有以下格式:

{ "version":"0", "id":" cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type":"event type", "source":"aws.config", "account":"111122223333", "time":"2018-03-22T00:38:11Z", "region":"us-east-1", "resources":[resources], "detail":{specific message type }

为 AWS Config 创建 Amazon CloudWatch Events 规则

可使用以下步骤创建对 AWS Config 发出的事件进行触发的 CloudWatch Events 规则。

  1. 打开 CloudWatch 控制台 (https://console.aws.amazon.com/cloudwatch/)。

  2. 在导航窗格中,选择 Events

  3. 选择 Create rule

  4. Step 1: Create rule 页面上,对于 Service Name,选择 Config

  5. 对于 Event Type,选择用于触发此规则的事件类型:

    • 选择 All Events 以创建一个应用于所有 AWS 服务的规则。如果您选择此选项,则不能选择特定的消息类型、规则名称、资源类型或资源 ID。

    • 选择 AWS API Call via CloudTrail 以使规则基于对此此服务进行的 API 调用。有关创建此类规则的更多信息,请参阅 使用 AWS CloudTrail 创建在 AWS API 调用上触发的 CloudWatch 事件规则

    • 选择 Config Configuration Item Change 以在您账户中的资源发生更改时获取通知。

    • 选择 Config Rules Compliance Change 以在对您的规则进行合规性检查失败时获取通知。

    • 选择 Config Rules Re-evaluation Status 以获取重新评估状态通知。

    • 选择 Config Configuration Snapshot Delivery Status 以获取配置快照传输状态通知。

    • 选择 Config Configuration History Delivery Status 以获取配置历史记录传输状态通知。

  6. 选择 Any message type 以接收任何类型的通知。选择 Specific message type(s) 以接收以下类型的通知:

    • 如果您选择 ConfigurationItemChangeNotification,则会在 AWS Config 成功将配置快照传送到 Amazon S3 存储桶时收到消息。

    • 如果您选择 ComplianceChangeNotification,则会在 AWS Config 评估的资源的合规性类型发生更改时收到消息。

    • 如果您选择 ConfigRulesEvaluationStarted,则会在 AWS Config 对照指定资源开始评估您的规则时收到消息。

    • 如果您选择 ConfigurationSnapshotDeliveryCompleted,则会在 AWS Config 成功将配置快照传送到 Amazon S3 存储桶时收到消息。

    • 如果您选择 ConfigurationSnapshotDeliveryFailed,则会在 AWS Config 无法将配置快照传送到 Amazon S3 存储桶时收到消息。

    • 如果您选择 ConfigurationSnapshotDeliveryStarted,则会在 AWS Config 开始将配置快照传送到 Amazon S3 存储桶时收到消息。

    • 如果您选择 ConfigurationHistoryDeliveryCompleted,则会在 AWS Config 成功将配置历史记录传送到 Amazon S3 存储桶时收到消息。

  7. 如果您从 Event Type (事件类型) 下拉列表中选择了某个特定事件类型,请选择 Any resource type (任何资源类型) 以创建一个应用于 AWS Config 支持的所有资源类型的规则。

    或者,选择 Specific resource type(s) (特定资源类型),然后键入 AWS Config 支持的资源类型(例如,AWS::EC2::Instance)。

  8. 如果您从 Event Type (事件类型) 下拉列表中选择了某个特定事件类型,请选择 Any resource ID (任何资源 ID) 以包括 AWS Config 支持的任何资源 ID。

    或者,选择 Specific resource ID(s) (特定资源 ID),然后键入 AWS Config 支持的资源 ID(例如,i-04606de676e635647)。

  9. 如果您从 Event Type (事件类型) 下拉列表中选择了某个特定事件类型,请选择 Any rule name (任何规则名称) 以包括 AWS Config 支持的任何规则。

    或者,选择 Specific rule name(s) (特定规则名称),然后键入 AWS Config 支持的规则(例如,required-tags)。

  10. 审查您的规则设置以确保其符合事件监控要求。

  11. Targets 区域,选择 Add target*。

  12. Select target type 列表中,选择您准备为此规则使用的目标类型,然后配置该类型所需的任何其他选项。

  13. 选择 Configure details

  14. Configure rule details 页面上,为规则键入名称和说明,然后选择 State 框以在创建规则后立即启用规则。

  15. 选择 Create rule 以确认您的选择。