注意事项 Amazon Config 的 Amazon EventBridge 格式为 Amazon Config 创建 Amazon EventBridge 规则

使用 Amazon EventBridge 监控 Amazon Config

Amazon EventBridge 提供近乎实时的系统事件流，这些系统事件描述了 Amazon 资源中的更改。可以使用 Amazon EventBridge 检测 Amazon Config 事件状态的变更并对其进行响应。

您可以创建一个规则，只要状态发生变换或者在变换到一个或多个感兴趣的状态时，就运行该规则。然后，Amazon EventBridge 会根据您创建的规则，在事件匹配您在规则中指定的值时调用一个或多个目标操作。根据事件类型，您可能想要发送通知、捕获事件信息、采取纠正措施、启动事件或采取其他操作。

然而，在为 Amazon Config 创建事件规则之前，您应当执行以下操作：

熟悉 EventBridge 中的事件、规则和目标。有关更多信息，请参阅什么是 Amazon EventBridge？
有关如何开始使用 EventBridge 并设置规则的更多信息，请参阅 Amazon EventBridge 入门。
创建将在您的事件规则中使用的目标。

注意事项

如果您不使用 Amazon Config 记录以下资源类型，则不会通过 EventBridge 收到这些资源类型的警报：

AWS::ACM::Certificate
AWS::CloudTrail::Trail
AWS::CloudWatch::Alarm
AWS::EC2::CustomerGateway
AWS::EC2::EIP
AWS::EC2::Host
AWS::EC2::Instance
AWS::EC2::InternetGateway
AWS::EC2::NetworkAcl
AWS::EC2::NetworkInterface
AWS::EC2::RouteTable
AWS::EC2::SecurityGroup
AWS::EC2::Subnet
AWS::EC2::VPC
AWS::EC2::VPNConnection
AWS::EC2::VPNGateway
AWS::EC2::Volume
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User
AWS::RDS::DBInstance
AWS::RDS::DBSecurityGroup
AWS::RDS::DBSnapshot
AWS::RDS::DBSubnetGroup
AWS::RDS::EventSubscription
AWS::Redshift::Cluster
AWS::Redshift::ClusterParameterGroup
AWS::Redshift::ClusterSecurityGroup
AWS::Redshift::ClusterSnapshot
AWS::Redshift::ClusterSubnetGroup
AWS::Redshift::EventSubscription
AWS::S3::Bucket

Amazon Config 的 Amazon EventBridge 格式

Amazon Config 的 EventBridge 事件具有以下格式：



          {
             "version": "0",
             "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
             "detail-type": "event type",
             "source": "aws.config",
             "account": "111122223333",
             "time": "2018-03-22T00:38:11Z",
             "region": "us-east-1",
             "resources": [
                resources
             ],
             "detail": {
                specific message type
             }
          }

为 Amazon Config 创建 Amazon EventBridge 规则

可使用以下步骤创建对 Amazon Config 发出的事件进行触发的 EventBridge 规则。尽最大努力发出事件。

在导航窗格中，选择规则。
选择创建规则。
为规则输入名称和描述。

规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。

注意
事件总线从源接收事件，通过规则对事件进行评估，应用所有已配置的输入转换，然后将事件路由至相应的一个或多个目标。您的账户有一个默认事件总线，它接收来自 Amazon Web Services 服务的事件。自定义事件总线可以从您的自定义应用程序和服务接收事件。合作伙伴事件总线从 SaaS 合作伙伴创建的事件源接收事件。这些事件来自合作伙伴的服务或应用程序。有关更多信息，请参阅《Amazon EventBridge 用户指南》中的 Amazon EventBridge 中的事件总线。
对于规则类型，选择具有事件模式的规则。
对于事件源，选择 Amazon 事件或 EventBridge 合作伙伴事件。
（可选）对于示例事件类型，选择 Amazon 事件。
（可选）对于示例事件，选择用于触发此规则的事件类型：
- 选择通过 CloudTrail 进行的 Amazon API 调用，以使规则基于对此服务进行的 API 调用。有关创建此类规则的更多信息，请参阅教程：为 Amazon CloudTrail API 调用创建 Amazon EventBridge 规则。
- 选择 Config Configuration Item Change 以在您账户中的资源发生更改时获取通知。
  
  如以下支持文章中所述，在创建或删除资源时，可以使用 EventBridge 来接收自定义电子邮件通知：当使用 Amazon Config 服务在我的 Amazon Web Services 账户中创建资源时，我如何接收自定义电子邮件通知？和当使用 Amazon Config 服务删除我的 Amazon Web Services 账户中的资源时，我如何接收自定义电子邮件通知？。
- 选择 Config Rules Compliance Change 以在对您的规则进行合规性检查失败时获取通知。
  
  如以下支持文章中所述，当资源不合规时，可以使用 EventBridge 来接收自定义电子邮件通知：当使用 Amazon Config 的 Amazon 资源不合规时，如何通知我？。
- 选择 Config Rules Re-evaluation Status 以获取重新评估状态通知。
- 选择 Config Configuration Snapshot Delivery Status 以获取配置快照传输状态通知。
- 选择 Config Configuration History Delivery Status 以获取配置历史记录传输状态通知。
对于创建方法，选择使用模式表单。
对于事件源，选择Amazon 服务。
对于 Amazon 服务，请选择 Config。
对于事件类型，选择用于触发此规则的事件类型：
- 选择所有事件以创建一个应用于所有 Amazon 服务的规则。如果您选择此选项，则不能选择特定的消息类型、规则名称、资源类型或资源 ID。
- 选择通过 CloudTrail 进行的 Amazon API 调用，以使规则基于对此服务进行的 API 调用。有关创建此类规则的更多信息，请参阅教程：为 Amazon CloudTrail API 调用创建 Amazon EventBridge 规则。
- 选择 Config Configuration Item Change 以在您账户中的资源发生更改时获取通知。
  
  如以下支持文章中所述，在创建或删除资源时，可以使用 EventBridge 来接收自定义电子邮件通知：当使用 Amazon Config 服务在我的 Amazon Web Services 账户中创建资源时，我如何接收自定义电子邮件通知？和当使用 Amazon Config 服务删除我的 Amazon Web Services 账户中的资源时，我如何接收自定义电子邮件通知？。
- 选择 Config Rules Compliance Change 以在对您的规则进行合规性检查失败时获取通知。
  
  如以下支持文章中所述，当资源不合规时，可以使用 EventBridge 来接收自定义电子邮件通知：当使用 Amazon Config 的 Amazon 资源不合规时，如何通知我？。
- 选择 Config Rules Re-evaluation Status 以获取重新评估状态通知。
- 选择 Config Configuration Snapshot Delivery Status 以获取配置快照传输状态通知。
- 选择 Config Configuration History Delivery Status 以获取配置历史记录传输状态通知。
选择 Any message type 以接收任何类型的通知。选择 Specific message type(s） 以接收以下类型的通知：
- 如果选择 ConfigurationItemChangeNotification，当 Amazon Config 评估的资源的配置发生变化时，您将收到消息。
- 如果您选择 ComplianceChangeNotification，则会在 Amazon Config 评估的资源的合规性类型发生更改时收到消息。
- 如果您选择 ConfigRulesEvaluationStarted，则会在 Amazon Config 对照指定资源开始评估您的规则时收到消息。
- 如果您选择 ConfigurationSnapshotDeliveryCompleted，则会在 Amazon Config 成功将配置快照传送到 Amazon S3 存储桶时收到消息。
- 如果您选择 ConfigurationSnapshotDeliveryFailed，则会在 Amazon Config 无法将配置快照传送到 Amazon S3 存储桶时收到消息。
- 如果您选择 ConfigurationSnapshotDeliveryStarted，则会在 Amazon Config 开始将配置快照传送到 Amazon S3 存储桶时收到消息。
- 如果您选择 ConfigurationHistoryDeliveryCompleted，则会在 Amazon Config 成功将配置历史记录传送到 Amazon S3 存储桶时收到消息。
如果您从事件类型下拉列表中选择了某个特定事件类型，请选择任何资源类型，以创建一个应用于 Amazon Config 支持的所有资源类型的规则。

或者，选择 Specific resource type(s）（特定资源类型），然后键入 Amazon Config 支持的资源类型（例如，AWS::EC2::Instance）。
如果您从事件类型下拉列表中选择了某个特定事件类型，请选择任何资源 ID，以包括 Amazon Config 支持的任何资源 ID。

或者，选择 Specific resource ID(s）（特定资源 ID），然后键入 Amazon Config 支持的资源 ID（例如，i-04606de676e635647）。
如果您从事件类型下拉列表中选择了某个特定事件类型，请选择任何规则名称，以包括 Amazon Config 支持的任何规则。

或者，选择 Specific rule name(s）（特定规则名称），然后键入 Amazon Config 支持的规则（例如，required-tags）。
对于选择目标，选择您准备为此规则使用的目标类型，然后配置该类型所需的任何其他选项。
显示的字段因您选择的服务而异。根据需要输入此目标类型的特定信息。
对于许多目标类型，EventBridge 需要权限以便将事件发送到目标。在这些情况下，EventBridge 可以创建运行事件所需的 IAM 角色：
- 若要自动创建 IAM 角色，请选择 Create a new role for this specific resource（为此特定资源创建新角色）。
- 要使用您之前创建的 IAM 角色，请选择 Use existing role（使用现有角色）。
（可选）选择 Add target（添加目标），以便为此规则添加另一个目标。
（可选）为规则输入一个或多个标签。有关更多信息，请参阅 Amazon EventBridge 标签。
审查您的规则设置以确保其符合事件监控要求。
选择创建以确认您的选择。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用 Amazon SQS

Amazon VPC 端点