Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Supervisión
Puede utilizar otros AWS servicios para supervisar AWS Config los recursos.
+ Puedes usar Amazon Simple Notification Service (SNS) para enviarte notificaciones cada vez que se cree, actualice o modifique un AWS recurso compatible como resultado de la actividad de la API del usuario.
+ Puedes usar Amazon EventBridge para detectar cambios en el estado de los AWS Config eventos y reaccionar ante ellos.
**Topics**
+ [Uso de Amazon SQS](monitor-resource-changes.md)
+ [Uso de Amazon EventBridge](monitor-config-with-cloudwatchevents.md)
# Supervisión de los cambios en los AWS recursos con Amazon SQS
AWS Config utiliza Amazon Simple Notification Service (SNS) para enviarle notificaciones cada vez que se crea, actualiza o modifica un AWS recurso compatible como resultado de la actividad de la API del usuario. Sin embargo, es posible que solo le interesen determinados cambios en la configuración de los recursos. Por ejemplo, puede que considere esencial saber si alguien modifica la configuración de un grupo de seguridad, pero no necesita que se le informe cada vez que se produzca un cambio en las etiquetas de las instancias de Amazon EC2. O es posible que desee escribir un programa que realice acciones específicas cuando se actualizan recursos concretos. Por ejemplo, puede que desee iniciar un flujo de trabajo determinado cuando cambie la configuración de un grupo de seguridad. Si desea consumir los datos de estas u otras formas mediante programación, utilice una cola de AWS Config Amazon Simple Queue Service como punto de enlace de notificación para Amazon SNS.
**nota**
Las notificaciones también pueden proceder de Amazon SNS en forma de correo electrónico, un SMS (servicio de mensajes cortos) para teléfonos móviles y smartphones que admiten SMS, un mensaje de notificación a una aplicación en un dispositivo móvil o un mensaje de notificación a uno o más puntos de conexión HTTP o HTTPS.
Puede tener una única cola de SQS para suscribirse a varios temas, tanto si dispone de un tema por región como un tema por cada cuenta y región. Debe suscribir la cola al tema de SNS que desee. (Puede suscribir varias colas a un tema de SNS). Para obtener más información, consulte [Colas de distribución ramificada a Amazon SQS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html).
## Permisos para Amazon SQS
Para usar Amazon SQS con AWS Config, debe configurar una política que conceda permisos a su cuenta para realizar todas las acciones permitidas en una cola de SQS. La siguiente política de ejemplo concede al número de cuenta 111122223333 y al número de cuenta 444455556666 permiso para enviar mensajes sobre cada cambio de configuración a la cola arn:aws:sqs:us-east-2:444455556666:queue1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
También debe crear una política que conceda permisos de conexión entre un tema de SNS y la cola SQS que se suscribe a ese tema. El siguiente es un ejemplo de política que permite al tema de SNS con el nombre de recurso de Amazon (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic realizar cualquier acción en la cola denominada arn:aws:sqs:us-east- 2:111122223333:. test-topic-queue
**nota**
La cuenta para el tema de SNS y la cola de SQS deben estar en la misma región.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
Cada política puede incluir instrucciones que abarquen una sola cola, no varias. Para obtener información sobre otras restricciones en las políticas de Amazon SQS, consulte [Información especial sobre políticas de Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html).
# Monitorización AWS Config con Amazon EventBridge
Amazon EventBridge ofrece un flujo casi en tiempo real de los eventos del sistema que describen los cambios en AWS los recursos. Usa Amazon EventBridge para detectar los cambios en el estado de los AWS Config eventos y reaccionar ante ellos.
Tiene la opción de crear una regla que se ejecute siempre que haya una transición de estado o cuando haya una transición a uno o varios estados de interés. A continuación, en función de las reglas que crees, Amazon EventBridge invoca una o más acciones de destino cuando un evento coincide con los valores que especificas en una regla. Dependiendo del tipo de evento, es posible que desee enviar notificaciones, capturar información sobre el evento, tomar medidas correctivas, iniciar eventos o adoptar otras acciones.
Sin embargo AWS Config, antes de crear las reglas de un evento, debe hacer lo siguiente:
+ Familiarícese con los eventos, las reglas y los objetivos en EventBridge. Para obtener más información, consulta [¿Qué es Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ Para obtener más información sobre cómo empezar a utilizar las reglas EventBridge y configurarlas, consulta [Cómo empezar con Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html).
+ Crear el destino o los destinos que se utilizarán en las reglas de eventos.
**Topics**
+ [Consideraciones](#monitor-config-with-cloudwatchevents-considerations)
+ [EventBridge Formato de Amazon para AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [Creación de Amazon EventBridge Rule para AWS Config](#create-cloudwatch-events-rule-for-awsconfig)
## Consideraciones
No recibirás alertas de EventBridge los siguientes tipos de recursos si no las estás grabando con AWS Config:
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## EventBridge Formato de Amazon para AWS Config
El formato del EventBridge [AWS Config evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) es el siguiente:
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## Creación de Amazon EventBridge Rule para AWS Config
Siga los siguientes pasos para crear una EventBridge regla que se active en función de un evento emitido por AWS Config. Los eventos se emiten en la medida de lo posible.
1. En el panel de navegación, seleccione **Reglas**.
1. Elija **Creación de regla**.
1. Escriba un nombre y una descripción para la regla.
Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus de eventos.
**nota**
Un bus de eventos recibe eventos de una fuente, usa reglas para evaluarlos, aplica cualquier transformación de entrada configurada y los enruta a los destinos adecuados. El bus de eventos predeterminado de su cuenta recibe eventos de Servicios de AWS. Un bus de eventos personalizado puede recibir eventos de sus aplicaciones y servicios personalizados. Un bus de eventos asociado recibe eventos de una fuente de eventos creada por un socio de SaaS. Estos eventos provienen de los servicios o aplicaciones de socios. Para obtener más información, consulta los [autobuses de eventos en Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) en la *Guía del EventBridge usuario de Amazon*.
1. En **Tipo de regla**, elija **Regla con un patrón de evento**.
1. **En Origen del evento**, selecciona **AWS eventos o eventos EventBridge asociados**.
1. (Opcional) En **Ejemplo de tipo de evento**, elija **Eventos de AWS **.
1. (Opcional) En **Tipo de evento**, elija el tipo de evento que activará la regla:
+ Seleccione **Llamar a la AWS API desde CloudTrail** para basar las reglas en las llamadas a la API realizadas a este servicio. Para obtener más información sobre la creación de este tipo de regla, consulta el [Tutorial: Crear una EventBridge regla de Amazon para llamadas a la AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Elija **Config Configuration Item Change (Config: Cambio de un elemento de configuración)** para recibir notificaciones cuando cambie un recurso de su cuenta.
Como se describe en estos artículos de soporte, puedes utilizarlos EventBridge para recibir notificaciones personalizadas por correo electrónico cuando se crea o se elimina un recurso. [¿Cómo puedo recibir notificaciones por correo electrónico personalizadas cuando se crea un recurso en el AWS Config servicio que Cuenta de AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) y [¿cómo puedo recibir notificaciones por correo electrónico personalizadas cuando se elimina un recurso del AWS Config servicio que Cuenta de AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Elija **Config Rules Compliance Change (Config: Cambio en la conformidad de las reglas)** para obtener notificaciones cuando se produzca un error en una comprobación de conformidad de sus reglas.
Como se describe en este artículo de soporte, puede utilizarlos EventBridge para recibir notificaciones personalizadas por correo electrónico cuando un recurso no es compatible. [¿Cómo puedo recibir una notificación cuando un AWS recurso no es compatible con](https://repost.aws/knowledge-center/config-resource-non-compliant) el uso? AWS Config.
+ Elija **Config Rules Re-evaluation Status (Config: Estado de reevaluación de reglas)** para obtener notificaciones de estado de reevaluación.
+ Elija **Config Configuration Snapshot Delivery Status (Config: Estado de entrega de instantáneas de configuración)** para obtener notificaciones de estado de entrega de instantáneas de configuración.
+ Elija **Config Configuration History Delivery Status (Config: Estado de entrega del historial de configuración)** para obtener notificaciones de estado de entrega del historial de configuración.
1. En **Método de creación,** elija **Uso de forma de patrón**.
1. En **Origen de evento**, seleccione **Servicios de AWS **.
1. Para el **Servicio de AWS **, seleccione **Config**.
1. En **Tipo de evento**, elija el tipo de evento que activará la regla:
+ Selecciona **Todos los eventos** para establecer una regla que se aplique a todos los AWS servicios. Si elige esta opción, no podrá elegir tipos de mensajes, nombres de reglas, tipos de recursos o recursos específicos IDs.
+ Seleccione **Llamar a la AWS API desde CloudTrail** para basar las reglas en las llamadas a la API realizadas a este servicio. Para obtener más información sobre la creación de este tipo de regla, consulta el [Tutorial: Crear una EventBridge regla de Amazon para llamadas a la AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Elija **Config Configuration Item Change (Config: Cambio de un elemento de configuración)** para recibir notificaciones cuando cambie un recurso de su cuenta.
Como se describe en estos artículos de soporte, puedes utilizarlos EventBridge para recibir notificaciones personalizadas por correo electrónico cuando se crea o se elimina un recurso. [¿Cómo puedo recibir notificaciones por correo electrónico personalizadas cuando se crea un recurso en el AWS Config servicio que Cuenta de AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) y [¿cómo puedo recibir notificaciones por correo electrónico personalizadas cuando se elimina un recurso del AWS Config servicio que Cuenta de AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Elija **Config Rules Compliance Change (Config: Cambio en la conformidad de las reglas)** para obtener notificaciones cuando se produzca un error en una comprobación de conformidad de sus reglas.
Como se describe en este artículo de soporte, puede utilizarlos EventBridge para recibir notificaciones personalizadas por correo electrónico cuando un recurso no es compatible. [¿Cómo puedo recibir una notificación cuando un AWS recurso no es compatible con](https://repost.aws/knowledge-center/config-resource-non-compliant) el uso? AWS Config.
+ Elija **Config Rules Re-evaluation Status (Config: Estado de reevaluación de reglas)** para obtener notificaciones de estado de reevaluación.
+ Elija **Config Configuration Snapshot Delivery Status (Config: Estado de entrega de instantáneas de configuración)** para obtener notificaciones de estado de entrega de instantáneas de configuración.
+ Elija **Config Configuration History Delivery Status (Config: Estado de entrega del historial de configuración)** para obtener notificaciones de estado de entrega del historial de configuración.
1. Elija **Any message type (Cualquier tipo de mensaje)** para recibir notificaciones de cualquier tipo. Elija **Specific message type(s) (Tipos de mensajes específicos)** para recibir los siguientes tipos de notificaciones:
+ Si lo desea **ConfigurationItemChangeNotification**, recibirá mensajes cuando cambie la configuración de un recurso que AWS Config evalúa.
+ Si lo desea **ComplianceChangeNotification**, recibirá mensajes cuando cambie el tipo de conformidad de un recurso que AWS Config evalúa.
+ Si lo desea **ConfigRulesEvaluationStarted**, recibirá mensajes cuando AWS Config comience a evaluar la regla con respecto a los recursos especificados.
+ Si lo desea **ConfigurationSnapshotDeliveryCompleted**, recibirá mensajes cuando entregue AWS Config correctamente la instantánea de configuración a su bucket de Amazon S3.
+ Si lo desea **ConfigurationSnapshotDeliveryFailed**, recibirá mensajes cuando AWS Config no pueda entregar la instantánea de configuración a su bucket de Amazon S3.
+ Si lo desea **ConfigurationSnapshotDeliveryStarted**, recibirá mensajes cuando AWS Config comience a entregar la instantánea de configuración a su bucket de Amazon S3.
+ Si lo desea **ConfigurationHistoryDeliveryCompleted**, recibirá mensajes cuando entregue AWS Config correctamente el historial de configuración a su bucket de Amazon S3.
1. Si eligió un tipo de evento específico de la lista desplegable **Tipo de evento**, elija **Cualquier tipo de recurso** para crear una regla que se aplique a todos los tipos de recursos AWS Config compatibles.
O elija **Specific resource type(s) (Tipos de recursos específicos)** y, a continuación, escriba el tipo de recurso admitido por AWS Config (por ejemplo, `AWS::EC2::Instance`).
1. Si ha elegido un tipo de evento específico en la lista desplegable **Tipo de evento**, elija **Cualquier ID de recurso** para incluir cualquier ID de recurso admitido por AWS Config .
O elija **Specific resource ID(s) (ID de recursos específicos)** y, a continuación, escriba el ID de recurso admitido por AWS Config (por ejemplo, `i-04606de676e635647`).
1. Si ha elegido un tipo de evento específico en la lista desplegable **Tipo de evento**, elija **Cualquier nombre de regla** para incluir cualquier regla admitida por AWS Config .
O elija **Specific rule name(s) (Nombres de reglas específicas)** y, a continuación, escriba la regla admitida por AWS Config (por ejemplo, **required-tags**).
1. En la lista **Seleccionar destinos**, elija el tipo de destino definido para usar con esta regla y luego configure las opciones adicionales que requiera dicho tipo.
1. Los campos mostrados varían en función del servicio que seleccione. Introduzca la información específica de este tipo de destino, según sea necesario.
1. Para muchos tipos de objetivos, EventBridge necesita permisos para enviar eventos al destino. En estos casos, EventBridge puede crear la función de IAM necesaria para que se ejecute la regla.
+ Para crear un rol de IAM automáticamente, elija **Creación de un nuevo rol para este recurso específico**.
+ Para utilizar un rol de IAM que haya creado antes, elija **Use existing role** (Usar rol existente).
1. (Opcional) Elija **Add target (Añadir destino)** para añadir otro destino para esta regla.
1. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulta las [ EventBridge etiquetas de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html).
1. Revise la configuración de las reglas para asegurarse de que se ajusta a los requisitos de monitorización de eventos.
1. Elija **Crear** para confirmar la opción elegida.