AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用 Amazon CloudWatch Events 监控 AWS Config

Amazon CloudWatch Events 提供近乎实时的系统事件流以描述 AWS 资源变化。使用 Amazon CloudWatch Events 检测 AWS Config 事件状态的变更并对其进行响应。

您可以创建一个规则,只要状态发生变换或者在变换到一个或多个感兴趣的状态时,就运行该规则。然后,Amazon CloudWatch Events 会根据您创建的规则,在事件匹配您在规则中指定的值时调用一个或多个目标操作。根据事件类型,您可能想要发送通知、捕获事件信息、采取纠正措施、启动事件或采取其他操作。

然而,在为 AWS Config 创建事件规则之前,您应当执行以下操作:

适用于 AWS Config 的 Amazon CloudWatch Events 格式

适用于 AWS Config 的 CloudWatch 事件具有以下格式:

{ "version":"0", "id":" cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type":"event type", "source":"aws.config", "account":"111122223333", "time":"2018-03-22T00:38:11Z", "region":"us-east-1", "resources":[resources], "detail":{specific message type }

为 AWS Config 创建 Amazon CloudWatch Events 规则

可以使用以下步骤创建对 AWS Config 发出的事件进行触发的 CloudWatch Events 规则。

  1. 打开 CloudWatch 控制台 (https://console.aws.amazon.com/cloudwatch/)。

  2. 在导航窗格中,选择 Events

  3. 选择 Create rule

  4. Step 1: Create rule 页面上,对于 Service Name,选择 Config

  5. 对于 Event Type,选择用于触发此规则的事件类型:

    • 选择 All Events 以创建一个应用于所有 AWS 服务的规则。如果您选择此选项,则不能选择特定的消息类型、规则名称、资源类型或资源 ID。

    • 选择 AWS API Call via CloudTrail 以使规则基于对此此服务进行的 API 调用。有关创建此类规则的更多信息,请参阅 使用 AWS CloudTrail 创建在 AWS API 调用上触发的 CloudWatch 事件规则

    • 选择 Config Configuration Item Change 以在您账户中的资源发生更改时获取通知。

    • 选择 Config Rules Compliance Change 以在对您的规则进行合规性检查失败时获取通知。

    • 选择 Config Rules Re-evaluation Status 以获取重新评估状态通知。

    • 选择 Config Configuration Snapshot Delivery Status 以获取配置快照传输状态通知。

    • 选择 Config Configuration History Delivery Status 以获取配置历史记录传输状态通知。

  6. 选择 Any message type 以接收任何类型的通知。选择 Specific message type(s) 以接收以下类型的通知:

    • 如果您选择 ConfigurationItemChangeNotification,则会在 AWS Config 成功将配置快照传送到您的 Amazon S3 存储桶时收到消息。

    • 如果您选择 ComplianceChangeNotification,则会在 AWS Config 评估的资源的合规性类型发生更改时收到消息。

    • 如果您选择 ConfigRulesEvaluationStarted,则会在 AWS Config 对照指定资源开始评估您的规则时收到消息。

    • 如果您选择 ConfigurationSnapshotDeliveryCompleted,则会在 AWS Config 成功将配置快照传送到您的 Amazon S3 存储桶时收到消息。

    • 如果您选择 ConfigurationSnapshotDeliveryFailed,则会在 AWS Config 无法将配置快照传送到您的 Amazon S3 存储桶时收到消息。

    • 如果您选择 ConfigurationSnapshotDeliveryStarted,则会在 AWS Config 开始将配置快照传送到您的 Amazon S3 存储桶时收到消息。

    • 如果您选择 ConfigurationHistoryDeliveryCompleted,则会在 AWS Config 成功将配置历史记录传送到您的 Amazon S3 存储桶时收到消息。

  7. 如果您从 Event Type 下拉列表中选择了某个特定事件类型,请选择 Any resource type 以创建一个应用于 AWS Config 支持的所有资源类型的规则。

    或者,选择 Specific resource type(s),然后键入 AWS Config 支持的资源类型 (例如,AWS::EC2::Instance)。

  8. 如果您从 Event Type 下拉列表中选择了某个特定事件类型,请选择 Any resource ID 以包括 AWS Config 支持的任何资源 ID。

    或者,选择 Specific resource ID(s),然后键入 AWS Config 支持的资源 ID (例如,i-04606de676e635647)。

  9. 如果您从 Event Type 下拉列表中选择了某个特定事件类型,请选择 Any rule name 以包括 AWS Config 支持的任何资源规则。

    或者,选择 Specific rule name(s),然后键入 AWS Config 支持的规则 (例如,required-tags)。

  10. 审查您的规则设置以确保其符合事件监控要求。

  11. Targets 区域,选择 Add target*。

  12. Select target type 列表中,选择您准备为此规则使用的目标类型,然后配置该类型所需的任何其他选项。

  13. 选择 Configure details

  14. Configure rule details 页面上,为规则键入名称和说明,然后选择 State 框以在创建规则后立即启用规则。

  15. 选择 Create rule 以确认您的选择。