Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einloggen und Überwachen AWS Config
AWS Config ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ausgeführt wurden AWS Config. Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit AWS Config und Leistung Ihrer AWS Lösungen.
**Topics**
+ [Protokollierung](log-api-calls.md)
+ [Monitoring](monitoring.md)
# Protokollieren von AWS Config API-Aufrufen mit AWS CloudTrail
CloudTrail erfasst alle API-Aufrufe AWS Config als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der AWS Config Konsole und Codeaufrufen für die AWS Config API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für AWS Config. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage ermitteln CloudTrail, an die die Anfrage gestellt wurde AWS Config, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Informationen.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [
## AWS Config Informationen in CloudTrail
](#service-name-info-in-cloudtrail)
+ [
## Grundlegendes zu AWS Config Protokolldateieinträgen
](#understanding-awsconfig-entries)
+ [
## Beispiele für Protokolldateien
](#cloudtrail-log-files-for-aws-config)
## AWS Config Informationen in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn eine Aktivität in stattfindet AWS Config, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen AWS-Konto. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, einschließlich der Ereignisse für AWS Config, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle AWS Config Vorgänge werden von der [AWS Config API-Referenz](https://docs.aws.amazon.com/config/latest/APIReference/) protokolliert CloudTrail und sind in dieser dokumentiert. Beispielsweise generieren Aufrufe der [DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)Operationen [DeliverConfigSnapshot[DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html), und Einträge in den CloudTrail Protokolldateien.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail userIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Grundlegendes zu AWS Config Protokolldateieinträgen
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
## Beispiele für Protokolldateien
Beispiele für die CloudTrail Protokolleinträge finden Sie in den folgenden Themen.
------
#### [ DeleteDeliveryChannel ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:32:57Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeleteDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-internal/3",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": null,
"requestID": "207d695a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "5dcff7a9-e414-411a-a43e-88d122a0ad4a",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DeliverConfigSnapshot ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:53Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeliverConfigSnapshot",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": {
"configSnapshotId": "58d50f10-212d-4fa4-842e-97c614da67ce"
},
"requestID": "e0248561-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "3e88076c-eae1-4aa6-8990-86fe52aedbd8",
"eventType": "AwsApiCall",
recipientAccountId": "111111111111"
}
```
------
#### [ DescribeConfigurationRecorderStatus ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [DescribeConfigurationRecorderStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorderStatus.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:44Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorderStatus",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "8442f25d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "a675b36b-455f-4e18-a4bc-d3e01749d3f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeConfigurationRecorders ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [DescribeConfigurationRecorders](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorders.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:34:52Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorders",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6566b55c-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6259a9ad-889e-423b-beeb-6e1eec84a8b5",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeDeliveryChannels ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:02Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeDeliveryChannels",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6b6aee3f-8164-11e4-ab4f-657c7ab282ab",
"eventID": "3e15ebc5-bf39-4d2a-8b64-9392807985f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ GetResourceConfigHistory ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:42Z",
"eventSource": "config.amazonaws.com",
"eventName": "GetResourceConfigHistory",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"resourceId": "vpc-a12bc345",
"resourceType": "AWS::EC2::VPC",
"limit": 0,
"laterTime": "Dec 11, 2014 12:58:42 AM",
"earlierTime": "Dec 10, 2014 4:58:42 PM"
},
"responseElements": null,
"requestID": "d9f3490d-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "ba9c1766-d28f-40e3-b4c6-3ffb87dd6166",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
------
#### [ PutConfigurationRecorder ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [PutConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationRecorder.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:23Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorder": {
"name": "default",
"roleARN": "arn:aws:iam::222222222222:role/config-role-pdx"
}
},
"responseElements": null,
"requestID": "779f7917-8164-11e4-ab4f-657c7ab282ab",
"eventID": "c91f3daa-96e8-44ee-8ddd-146ac06565a7",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ PutDeliveryChannel ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [PutDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_PutDeliveryChannel.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:33:08Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannel": {
"name": "default",
"s3BucketName": "config-api-test-pdx",
"snsTopicARN": "arn:aws:sns:us-west-2:222222222222:config-api-test-pdx"
}
},
"responseElements": null,
"requestID": "268b8d4d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "b2db05f1-1c73-4e52-b238-db69c04e8dd4",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StartConfigurationRecorder ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:34Z",
"eventSource": "config.amazonaws.com",
"eventName": "StartConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "7e03fa6a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "55a5507f-f306-4896-afe3-196dc078a88d",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StopConfigurationRecorder ]
Im Folgenden finden Sie ein Beispiel für eine CloudTrail Protokolldatei für den [StopConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StopConfigurationRecorder.html)Vorgang.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:13Z",
"eventSource": "config.amazonaws.com",
"eventName": "StopConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "716deea3-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6225a85d-1e49-41e9-bf43-3cfc5549e560",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
# Überwachen
Sie können andere AWS Dienste verwenden, um AWS Config Ressourcen zu überwachen.
+ Sie können Amazon Simple Notification Service (SNS) verwenden, um Ihnen jedes Mal Benachrichtigungen zu senden, wenn eine unterstützte AWS Ressource aufgrund von Benutzer-API-Aktivitäten erstellt, aktualisiert oder anderweitig geändert wird.
+ Sie können Amazon verwenden EventBridge , um Änderungen im Status von AWS Config Ereignissen zu erkennen und darauf zu reagieren.
**Topics**
+ [Verwenden von Amazon SQS](monitor-resource-changes.md)
+ [Amazon verwenden EventBridge](monitor-config-with-cloudwatchevents.md)
# Überwachen von AWS Ressourcenänderungen mit Amazon SQS
AWS Config verwendet Amazon Simple Notification Service (SNS), um Ihnen jedes Mal Benachrichtigungen zu senden, wenn eine unterstützte AWS Ressource aufgrund von Benutzer-API-Aktivitäten erstellt, aktualisiert oder anderweitig geändert wird. Allerdings sind möglicherweise nur bestimmte Änderungen der Ressourcenkonfiguration für Sie interessant. Möglicherweise ist es z. B. für Sie wichtig, wenn die Konfiguration einer Sicherheitsgruppe geändert wird. Sie müssen aber nicht über jeder Änderung eines Tags bei Ihren Amazon-EC2-Instances informiert werden. Sie können auch ein Programm schreiben, mit dem bei Aktualisierung bestimmter Ressourcen bestimmte Aktionen ausführt werden. Sie können beispielsweise eine bestimmte Workflow-Konfiguration starten, wenn eine Sicherheitsgruppe geändert wird. Wenn Sie die Daten auf diese oder andere Weise programmgesteuert nutzen möchten, verwenden Sie eine Amazon Simple Queue Service-Warteschlange als Benachrichtigungsendpunkt für Amazon SNS. AWS Config
**Anmerkung**
Benachrichtigungen können von Amazon SNS auch in Form einer E-Mail, einer SMS an SMS-fähige Mobiltelefone und Smartphones, einer Benachrichtigung an eine Anwendung auf einem mobilen Gerät oder einer Benachrichtigung an ein oder mehrere HTTP- oder HTTPS-Endpunkte gesendet werden.
Sie können eine einzelne SQS-Warteschlange mehrere Themen abonnieren, unabhängig davon, ob Sie ein Thema für jede Region oder ein Thema für jedes Konto für jede Region haben. Sie müssen die Warteschlange vom gewünschten SNS-Thema abonnieren lassen. (Sie können mehrere Warteschlangen in einem SNS-Thema abonnieren.) Weitere Informationen finden Sie unter [Senden von Amazon-SNS-Nachrichten an Amazon-SQS-Warteschlangen](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html).
## Berechtigungen für Amazon SQS
Um Amazon SQS mit zu verwenden AWS Config, müssen Sie eine Richtlinie konfigurieren, die Ihrem Konto die Erlaubnis erteilt, alle Aktionen auszuführen, die in einer SQS-Warteschlange zulässig sind. Die folgenden Beispielrichtlinie erteilt dem Konto mit der Nummer 111122223333 und dem Konto mit der Nummer 444455556666 die Berechtigung für das Senden von Nachrichten bei jeder Konfigurationsänderung an der Warteschlange mit dem Namen „arn:aws:sqs:us-east-2:444455556666:queue1“.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
Sie müssen auch eine Richtlinie erstellen, die Berechtigungen für Verbindungen zwischen einem SNS-Thema und der SQS-Warteschlange, die das Thema abonniert, erteilt. Die folgende Beispielrichtlinie ermöglicht es dem SNS-Thema mit dem Amazon-Ressourcennamen (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic, beliebige Aktionen in der Warteschlange mit dem Namen arn:aws:sqs:us-east- 2:111122223333 auszuführen:. test-topic-queue
**Anmerkung**
Die Konten des SNS-Themas und der SQS-Warteschlange müssen sich in derselben Region befinden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
Jede Richtlinie kann Anweisungen für nur eine einzige Warteschlange und nicht mehrere Warteschlangen enthalten. Informationen zu weiteren Einschränkungen bei Amazon-SQ-Richtlinien finden Sie unter [Spezielle Informationen zu Amazon-SQS-Richtlinien](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html).
# Überwachung AWS Config mit Amazon EventBridge
Amazon EventBridge liefert nahezu in Echtzeit einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben. Verwenden Sie Amazon EventBridge , um Änderungen im Status von AWS Config Ereignissen zu erkennen und darauf zu reagieren.
Sie können eine Regel erstellen, die ausgeführt wird, sobald ein Statusübergang oder ein Übergang zu einem oder mehreren Status stattfindet, die für sie von Interesse sind. Basierend auf den von Ihnen erstellten Regeln EventBridge ruft Amazon dann eine oder mehrere Zielaktionen auf, wenn ein Ereignis den Werten entspricht, die Sie in einer Regel angeben. Abhängig vom Ereignistyp können Sie Benachrichtigungen versenden, Ereignisinformationen erfassen, Korrekturmaßnahmen ausführen, Ereignisse auslösen oder andere Aktionen ausführen.
Bevor Sie jedoch Event-Regeln für AWS Config erstellen, sollten Sie Folgendes tun:
+ Machen Sie sich mit Ereignissen, Regeln und Zielen in vertraut EventBridge. Weitere Informationen finden Sie unter [Was ist Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ Weitere Informationen zu den ersten Schritten EventBridge und zur Einrichtung von Regeln finden Sie unter [Erste Schritte mit Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html).
+ Erstellen Sie das Ziel oder die Ziele für die Ereignisregeln.
**Topics**
+ [
## Überlegungen
](#monitor-config-with-cloudwatchevents-considerations)
+ [
## EventBridge Amazon-Format für AWS Config
](#cloudwatch-event-format-for-awsconfig)
+ [
## EventBridge Amazon-Regel erstellen für AWS Config
](#create-cloudwatch-events-rule-for-awsconfig)
## Überlegungen
Sie erhalten keine Benachrichtigungen EventBridge für die folgenden Ressourcentypen, wenn Sie sie nicht mit aufzeichnen AWS Config:
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## EventBridge Amazon-Format für AWS Config
Die EventBridge [Veranstaltung](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) für AWS Config hat das folgende Format:
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## EventBridge Amazon-Regel erstellen für AWS Config
Gehen Sie wie folgt vor, um eine EventBridge Regel zu erstellen, die bei einem Ereignis ausgelöst wird, das von ausgelöst wird AWS Config. Ereignisse werden auf bestmögliche Weise ausgegeben.
1. Wählen Sie im Navigationsbereich **Regeln** aus.
1. Wählen Sie **Regel erstellen** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.
**Anmerkung**
Ein Ereignisbus empfängt Ereignisse von einer Quelle, verwendet Regeln, um sie auszuwerten, wendet alle konfigurierten Eingabetransformationen an und leitet sie an die entsprechenden Ziele weiter. Der Standard-Event-Bus Ihres Kontos empfängt Ereignisse von AWS-Services. Ein benutzerdefinierter Event-Bus kann Ereignisse von Ihren benutzerdefinierten Anwendungen und Diensten empfangen. Ein Partner-Eventbus empfängt Ereignisse aus einer Eventquelle, die von einem SaaS-Partner erstellt wurde. Diese Ereignisse stammen aus den Diensten oder Anwendungen des Partners. Weitere Informationen finden Sie unter [Event Buses EventBridge in Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) im * EventBridge Amazon-Benutzerhandbuch*.
1. Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
1. Wählen Sie als **Quelle der Veranstaltung AWS ** **Veranstaltungen oder EventBridge Partnerveranstaltungen** aus.
1. (Optional) Wählen Sie für **Beispielereignistyp** **AWS -Ereignisse** aus.
1. (Optional) Wählen Sie für **Beispielereignisse** den Ereignistyp aus, der die Regel auslöst:
+ Wählen Sie **AWS API-Aufruf von CloudTrail**, um Regeln für API-Aufrufe an diesen Dienst festzulegen. Weitere Informationen zur Erstellung dieser Art von Regel finden Sie unter [Tutorial: EventBridge Amazon-Regel für AWS CloudTrail API-Aufrufe erstellen](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Wählen Sie **Config Configuration Item Change (Änderung eines Konfigurationselements konfigurieren)** aus, damit Sie Benachrichtigungen erhalten, wenn eine Ressource in Ihrem Konto geändert wird.
Wie in diesen Support-Artikeln beschrieben, können EventBridge Sie benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn eine Ressource erstellt oder gelöscht wird. [Wie kann ich benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn eine Ressource in meinem AWS-Konto nutzenden AWS Config Service erstellt wird?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) und [wie kann ich benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn eine Ressource in meinem AWS-KontoAWS Config Nutzungsdienst gelöscht wird?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Wählen Sie **Config Rules Compliance Change (Änderung der Regel-Compliance konfigurieren)** aus, damit Sie Benachrichtigungen erhalten, wenn eine Compliance-Prüfung mit Ihren Regeln fehlschlägt.
Wie in diesem Support-Artikel beschrieben, können EventBridge Sie benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn eine Ressource nicht konform ist. [Wie kann ich benachrichtigt werden, wenn eine AWS Ressource nicht richtlinientreu ist? AWS Config](https://repost.aws/knowledge-center/config-resource-non-compliant) .
+ Wählen Sie **Config Rules Re-evaluation Status (Neuauswertungsstatus für Regeln konfigurieren)** aus, um Benachrichtigungen zum Status der Neuauswertung zu erhalten.
+ Wählen Sie **Config Configuration Snapshot Delivery Status (Übermittlungsstatus des Konfigurations-Snapshots konfigurieren)** aus, um Benachrichtigungen zum Übermittlungsstatus des Konfigurations-Snapshots zu erhalten.
+ Wählen Sie **Config Configuration History Delivery Status (Übermittlungsstatus des Konfigurationsverlaufs konfigurieren)** aus, um Benachrichtigungen zum Übermittlungsstatus des Konfigurationsverlaufs zu erhalten.
1. Wählen Sie für **Erstellungsmethode** die Option **Musterformular verwenden** aus.
1. Als **Event source** (Ereignisquelle) wählen Sie **AWS -Services** aus.
1. Wählen Sie für **AWS -Service** die Option **Config**.
1. Wählen Sie für **Ereignistyp** den Ereignistyp aus, der die Regel auslösen soll:
+ Wählen Sie **Alle Ereignisse**, um eine Regel zu erstellen, die für alle AWS Dienste gilt. Wenn Sie diese Option wählen, können Sie keine bestimmten Nachrichtentypen, Regelnamen, Ressourcentypen oder Ressourcen auswählen IDs.
+ Wählen Sie **AWS API-Aufruf von CloudTrail**, um die Regeln für API-Aufrufe an diesen Dienst festzulegen. Weitere Informationen zur Erstellung dieser Art von Regel finden Sie unter [Tutorial: EventBridge Amazon-Regel für AWS CloudTrail API-Aufrufe erstellen](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Wählen Sie **Config Configuration Item Change (Änderung eines Konfigurationselements konfigurieren)** aus, damit Sie Benachrichtigungen erhalten, wenn eine Ressource in Ihrem Konto geändert wird.
Wie in diesen Support-Artikeln beschrieben, können EventBridge Sie benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn eine Ressource erstellt oder gelöscht wird. [Wie kann ich benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn eine Ressource in meinem AWS-Konto nutzenden AWS Config Service erstellt wird?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) und [wie kann ich benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn eine Ressource in meinem AWS-KontoAWS Config Nutzungsdienst gelöscht wird?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Wählen Sie **Config Rules Compliance Change (Änderung der Regel-Compliance konfigurieren)** aus, damit Sie Benachrichtigungen erhalten, wenn eine Compliance-Prüfung mit Ihren Regeln fehlschlägt.
Wie in diesem Support-Artikel beschrieben, können EventBridge Sie benutzerdefinierte E-Mail-Benachrichtigungen erhalten, wenn eine Ressource nicht konform ist. [Wie kann ich benachrichtigt werden, wenn eine AWS Ressource nicht richtlinientreu ist? AWS Config](https://repost.aws/knowledge-center/config-resource-non-compliant) .
+ Wählen Sie **Config Rules Re-evaluation Status (Neuauswertungsstatus für Regeln konfigurieren)** aus, um Benachrichtigungen zum Status der Neuauswertung zu erhalten.
+ Wählen Sie **Config Configuration Snapshot Delivery Status (Übermittlungsstatus des Konfigurations-Snapshots konfigurieren)** aus, um Benachrichtigungen zum Übermittlungsstatus des Konfigurations-Snapshots zu erhalten.
+ Wählen Sie **Config Configuration History Delivery Status (Übermittlungsstatus des Konfigurationsverlaufs konfigurieren)** aus, um Benachrichtigungen zum Übermittlungsstatus des Konfigurationsverlaufs zu erhalten.
1. Wählen Sie **Any message type (Beliebiger Nachrichtentyp)** aus, um Benachrichtigungen eines beliebigen Typs zu erhalten. Wählen Sie **Specific message type(s) (Spezifische Nachrichtentyp(en))** aus, um folgende Benachrichtigungstypen zu erhalten:
+ Wenn Sie möchten **ConfigurationItemChangeNotification**, erhalten Sie Meldungen, wenn sich die Konfiguration einer AWS Config auswertenden Ressource geändert hat.
+ Wenn Sie möchten **ComplianceChangeNotification**, erhalten Sie Meldungen, wenn sich der Konformitätstyp einer AWS Config auswertenden Ressource geändert hat.
+ Wenn Sie möchten **ConfigRulesEvaluationStarted**, erhalten Sie Meldungen, wenn AWS Config mit der Auswertung Ihrer Regel anhand der angegebenen Ressourcen begonnen wird.
+ Wenn Sie möchten **ConfigurationSnapshotDeliveryCompleted**, erhalten Sie Nachrichten, wenn der Konfigurations-Snapshot AWS Config erfolgreich an Ihren Amazon S3-Bucket übermittelt wurde.
+ Wenn Sie möchten **ConfigurationSnapshotDeliveryFailed**, erhalten Sie Meldungen, wenn der Konfigurations-Snapshot AWS Config nicht an Ihren Amazon S3-Bucket übermittelt werden kann.
+ Wenn Sie möchten **ConfigurationSnapshotDeliveryStarted**, erhalten Sie Nachrichten, wenn AWS Config mit der Bereitstellung des Konfigurations-Snapshots an Ihren Amazon S3 S3-Bucket begonnen wird.
+ Wenn Sie möchten **ConfigurationHistoryDeliveryCompleted**, erhalten Sie Nachrichten, wenn der Konfigurationsverlauf AWS Config erfolgreich an Ihren Amazon S3-Bucket übermittelt wurde.
1. Wenn Sie einen bestimmten Ereignistyp aus der Dropdownliste **Ereignistyp** ausgewählt haben, wählen Sie **Beliebiger Ressourcentyp** aus, um eine Regel zu erstellen, die für alle AWS Config unterstützten Ressourcentypen gilt.
Alternativ können Sie **Specific resource type(s) (Spezifische Ressourcentyp(en))** auswählen und dann den von AWS Config unterstützten Ressourcentyp eingeben (z. B. `AWS::EC2::Instance`).
1. Bei Auswahl eines bestimmten Ereignistyps aus der Dropdown-Liste **Ereignistyp** sollten Sie **Beliebige Ressourcen-ID** auswählen, um jede von AWS Config unterstützte Ressourcen-ID einzuschließen.
Alternativ können Sie **Specific resource ID(s) (Spezifische Ressourcen-ID(s))** auswählen und dann die von AWS Config unterstützte Ressourcen-ID eingeben (z. B. `i-04606de676e635647`).
1. Bei Auswahl eines bestimmten Ereignistyps aus der Dropdown-Liste **Ereignistyp** sollten Sie **Beliebiger Regelname** auswählen, um jede von AWS Config unterstützte Regel einzuschließen.
Alternativ können Sie **Specific rule name(s) (Spezifische Regelname(n))** auswählen und dann die von AWS Config unterstützte Regel eingeben (z. B. **required-tags**).
1. Wählen Sie in **Ziel(e) auswählen** den Zieltyp aus, den Sie für die Verwendung mit dieser Regel vorbereitet haben, und konfigurieren Sie dann weitere für diesen Typ erforderliche Optionen.
1. Die angezeigten Felder variieren je nach ausgewähltem Service. Geben Sie nach Bedarf Informationen ein, die für diesen Zieltyp spezifisch sind.
1. Für viele Zieltypen sind EventBridge Berechtigungen erforderlich, um Ereignisse an das Ziel zu senden. In diesen Fällen EventBridge kann die IAM-Rolle erstellt werden, die für die Ausführung Ihrer Regel erforderlich ist.
+ Um automatisch eine IAM-Rolle zu erstellen, wählen Sie **Eine neue Rolle für diese spezifische Ressource erstellen**.
+ Wenn Sie eine zuvor erstellte IAM-Rolle verwenden möchten, wählen Sie **Use existing role (Vorhandene Rolle verwenden)**
1. (Optional) Wählen Sie **Add target (Ziel hinzufügen)** aus, um ein weiteres Ziel für diese Regel hinzuzufügen.
1. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter [ EventBridge Amazon-Tags](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html).
1. Überprüfen Sie die eingerichteten Regeln, um sicherzustellen, dass sie den Anforderungen Ihrer Ereignisüberwachung entsprechen.
1. Wählen Sie **Erstellen** aus, um Ihre Auswahl zu bestätigen.