Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Inicio de sesión y supervisión AWS Config
AWS Config está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en AWS Config. La supervisión es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de AWS Config sus AWS soluciones.
**Topics**
+ [Registro](log-api-calls.md)
+ [Monitoring](monitoring.md)
# Registrar las llamadas a la AWS Config API con AWS CloudTrail
CloudTrail captura todas las llamadas a la API AWS Config como eventos. Las llamadas capturadas incluyen llamadas desde la AWS Config consola y llamadas en código a las operaciones de la AWS Config API. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos para AWS Config. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial de eventos**. Con la información recopilada por usted CloudTrail, puede determinar el destinatario de la solicitud AWS Config, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, consulte la [Guía AWS CloudTrail del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Config Información en CloudTrail](#service-name-info-in-cloudtrail)
+ [Descripción de las entradas de los archivos de AWS Config registro](#understanding-awsconfig-entries)
+ [Ejemplos de archivos de registro](#cloudtrail-log-files-for-aws-config)
## AWS Config Información en CloudTrail
CloudTrail está habilitada en tu cuenta Cuenta de AWS al crear la cuenta. Cuando se produce una actividad en AWS Config, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial de eventos**. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para tener un registro continuo de tus eventos Cuenta de AWS, incluidos los eventos para AWS Config ti, crea una ruta. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Regiones de AWS. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Integraciones y servicios compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas AWS Config las operaciones se registran CloudTrail y se documentan en la [referencia de la AWS Config API](https://docs.aws.amazon.com/config/latest/APIReference/). Por ejemplo, las llamadas a las [DeliverConfigSnapshot[DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html)operaciones y y generan entradas en los archivos de CloudTrail registro. [DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM).
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Descripción de las entradas de los archivos de AWS Config registro
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.
## Ejemplos de archivos de registro
Para ver ejemplos de las entradas de CloudTrail registro, consulta los siguientes temas.
------
#### [ DeleteDeliveryChannel ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:32:57Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeleteDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-internal/3",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": null,
"requestID": "207d695a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "5dcff7a9-e414-411a-a43e-88d122a0ad4a",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DeliverConfigSnapshot ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:53Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeliverConfigSnapshot",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": {
"configSnapshotId": "58d50f10-212d-4fa4-842e-97c614da67ce"
},
"requestID": "e0248561-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "3e88076c-eae1-4aa6-8990-86fe52aedbd8",
"eventType": "AwsApiCall",
recipientAccountId": "111111111111"
}
```
------
#### [ DescribeConfigurationRecorderStatus ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [DescribeConfigurationRecorderStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorderStatus.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:44Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorderStatus",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "8442f25d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "a675b36b-455f-4e18-a4bc-d3e01749d3f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeConfigurationRecorders ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [DescribeConfigurationRecorders](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorders.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:34:52Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorders",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6566b55c-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6259a9ad-889e-423b-beeb-6e1eec84a8b5",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeDeliveryChannels ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:02Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeDeliveryChannels",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6b6aee3f-8164-11e4-ab4f-657c7ab282ab",
"eventID": "3e15ebc5-bf39-4d2a-8b64-9392807985f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ GetResourceConfigHistory ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:42Z",
"eventSource": "config.amazonaws.com",
"eventName": "GetResourceConfigHistory",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"resourceId": "vpc-a12bc345",
"resourceType": "AWS::EC2::VPC",
"limit": 0,
"laterTime": "Dec 11, 2014 12:58:42 AM",
"earlierTime": "Dec 10, 2014 4:58:42 PM"
},
"responseElements": null,
"requestID": "d9f3490d-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "ba9c1766-d28f-40e3-b4c6-3ffb87dd6166",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
------
#### [ PutConfigurationRecorder ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [PutConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationRecorder.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:23Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorder": {
"name": "default",
"roleARN": "arn:aws:iam::222222222222:role/config-role-pdx"
}
},
"responseElements": null,
"requestID": "779f7917-8164-11e4-ab4f-657c7ab282ab",
"eventID": "c91f3daa-96e8-44ee-8ddd-146ac06565a7",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ PutDeliveryChannel ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [PutDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_PutDeliveryChannel.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:33:08Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannel": {
"name": "default",
"s3BucketName": "config-api-test-pdx",
"snsTopicARN": "arn:aws:sns:us-west-2:222222222222:config-api-test-pdx"
}
},
"responseElements": null,
"requestID": "268b8d4d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "b2db05f1-1c73-4e52-b238-db69c04e8dd4",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StartConfigurationRecorder ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:34Z",
"eventSource": "config.amazonaws.com",
"eventName": "StartConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "7e03fa6a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "55a5507f-f306-4896-afe3-196dc078a88d",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StopConfigurationRecorder ]
A continuación se muestra un ejemplo de archivo de CloudTrail registro de la [StopConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StopConfigurationRecorder.html)operación.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:13Z",
"eventSource": "config.amazonaws.com",
"eventName": "StopConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "716deea3-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6225a85d-1e49-41e9-bf43-3cfc5549e560",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
# Supervisión
Puede utilizar otros AWS servicios para supervisar AWS Config los recursos.
+ Puedes usar Amazon Simple Notification Service (SNS) para enviarte notificaciones cada vez que se cree, actualice o modifique un AWS recurso compatible como resultado de la actividad de la API del usuario.
+ Puedes usar Amazon EventBridge para detectar cambios en el estado de los AWS Config eventos y reaccionar ante ellos.
**Topics**
+ [Uso de Amazon SQS](monitor-resource-changes.md)
+ [Uso de Amazon EventBridge](monitor-config-with-cloudwatchevents.md)
# Supervisión de los cambios en los AWS recursos con Amazon SQS
AWS Config utiliza Amazon Simple Notification Service (SNS) para enviarle notificaciones cada vez que se crea, actualiza o modifica un AWS recurso compatible como resultado de la actividad de la API del usuario. Sin embargo, es posible que solo le interesen determinados cambios en la configuración de los recursos. Por ejemplo, puede que considere esencial saber si alguien modifica la configuración de un grupo de seguridad, pero no necesita que se le informe cada vez que se produzca un cambio en las etiquetas de las instancias de Amazon EC2. O es posible que desee escribir un programa que realice acciones específicas cuando se actualizan recursos concretos. Por ejemplo, puede que desee iniciar un flujo de trabajo determinado cuando cambie la configuración de un grupo de seguridad. Si desea consumir los datos de estas u otras formas mediante programación, utilice una cola de AWS Config Amazon Simple Queue Service como punto de enlace de notificación para Amazon SNS.
**nota**
Las notificaciones también pueden proceder de Amazon SNS en forma de correo electrónico, un SMS (servicio de mensajes cortos) para teléfonos móviles y smartphones que admiten SMS, un mensaje de notificación a una aplicación en un dispositivo móvil o un mensaje de notificación a uno o más puntos de conexión HTTP o HTTPS.
Puede tener una única cola de SQS para suscribirse a varios temas, tanto si dispone de un tema por región como un tema por cada cuenta y región. Debe suscribir la cola al tema de SNS que desee. (Puede suscribir varias colas a un tema de SNS). Para obtener más información, consulte [Colas de distribución ramificada a Amazon SQS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html).
## Permisos para Amazon SQS
Para usar Amazon SQS con AWS Config, debe configurar una política que conceda permisos a su cuenta para realizar todas las acciones permitidas en una cola de SQS. La siguiente política de ejemplo concede al número de cuenta 111122223333 y al número de cuenta 444455556666 permiso para enviar mensajes sobre cada cambio de configuración a la cola arn:aws:sqs:us-east-2:444455556666:queue1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
También debe crear una política que conceda permisos de conexión entre un tema de SNS y la cola SQS que se suscribe a ese tema. El siguiente es un ejemplo de política que permite al tema de SNS con el nombre de recurso de Amazon (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic realizar cualquier acción en la cola denominada arn:aws:sqs:us-east- 2:111122223333:. test-topic-queue
**nota**
La cuenta para el tema de SNS y la cola de SQS deben estar en la misma región.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
Cada política puede incluir instrucciones que abarquen una sola cola, no varias. Para obtener información sobre otras restricciones en las políticas de Amazon SQS, consulte [Información especial sobre políticas de Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html).
# Monitorización AWS Config con Amazon EventBridge
Amazon EventBridge ofrece un flujo casi en tiempo real de los eventos del sistema que describen los cambios en AWS los recursos. Usa Amazon EventBridge para detectar los cambios en el estado de los AWS Config eventos y reaccionar ante ellos.
Tiene la opción de crear una regla que se ejecute siempre que haya una transición de estado o cuando haya una transición a uno o varios estados de interés. A continuación, en función de las reglas que crees, Amazon EventBridge invoca una o más acciones de destino cuando un evento coincide con los valores que especificas en una regla. Dependiendo del tipo de evento, es posible que desee enviar notificaciones, capturar información sobre el evento, tomar medidas correctivas, iniciar eventos o adoptar otras acciones.
Sin embargo AWS Config, antes de crear las reglas de un evento, debe hacer lo siguiente:
+ Familiarícese con los eventos, las reglas y los objetivos en EventBridge. Para obtener más información, consulta [¿Qué es Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ Para obtener más información sobre cómo empezar a utilizar las reglas EventBridge y configurarlas, consulta [Cómo empezar con Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html).
+ Crear el destino o los destinos que se utilizarán en las reglas de eventos.
**Topics**
+ [Consideraciones](#monitor-config-with-cloudwatchevents-considerations)
+ [EventBridge Formato de Amazon para AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [Creación de Amazon EventBridge Rule para AWS Config](#create-cloudwatch-events-rule-for-awsconfig)
## Consideraciones
No recibirás alertas de EventBridge los siguientes tipos de recursos si no las estás grabando con AWS Config:
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## EventBridge Formato de Amazon para AWS Config
El formato del EventBridge [AWS Config evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) es el siguiente:
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## Creación de Amazon EventBridge Rule para AWS Config
Siga los siguientes pasos para crear una EventBridge regla que se active en función de un evento emitido por AWS Config. Los eventos se emiten en la medida de lo posible.
1. En el panel de navegación, seleccione **Reglas**.
1. Elija **Creación de regla**.
1. Escriba un nombre y una descripción para la regla.
Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus de eventos.
**nota**
Un bus de eventos recibe eventos de una fuente, usa reglas para evaluarlos, aplica cualquier transformación de entrada configurada y los enruta a los destinos adecuados. El bus de eventos predeterminado de su cuenta recibe eventos de Servicios de AWS. Un bus de eventos personalizado puede recibir eventos de sus aplicaciones y servicios personalizados. Un bus de eventos asociado recibe eventos de una fuente de eventos creada por un socio de SaaS. Estos eventos provienen de los servicios o aplicaciones de socios. Para obtener más información, consulta los [autobuses de eventos en Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) en la *Guía del EventBridge usuario de Amazon*.
1. En **Tipo de regla**, elija **Regla con un patrón de evento**.
1. **En Origen del evento**, selecciona **AWS eventos o eventos EventBridge asociados**.
1. (Opcional) En **Ejemplo de tipo de evento**, elija **Eventos de AWS **.
1. (Opcional) En **Tipo de evento**, elija el tipo de evento que activará la regla:
+ Seleccione **Llamar a la AWS API desde CloudTrail** para basar las reglas en las llamadas a la API realizadas a este servicio. Para obtener más información sobre la creación de este tipo de regla, consulta el [Tutorial: Crear una EventBridge regla de Amazon para llamadas a la AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Elija **Config Configuration Item Change (Config: Cambio de un elemento de configuración)** para recibir notificaciones cuando cambie un recurso de su cuenta.
Como se describe en estos artículos de soporte, puedes utilizarlos EventBridge para recibir notificaciones personalizadas por correo electrónico cuando se crea o se elimina un recurso. [¿Cómo puedo recibir notificaciones por correo electrónico personalizadas cuando se crea un recurso en el AWS Config servicio que Cuenta de AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) y [¿cómo puedo recibir notificaciones por correo electrónico personalizadas cuando se elimina un recurso del AWS Config servicio que Cuenta de AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Elija **Config Rules Compliance Change (Config: Cambio en la conformidad de las reglas)** para obtener notificaciones cuando se produzca un error en una comprobación de conformidad de sus reglas.
Como se describe en este artículo de soporte, puede utilizarlos EventBridge para recibir notificaciones personalizadas por correo electrónico cuando un recurso no es compatible. [¿Cómo puedo recibir una notificación cuando un AWS recurso no es compatible con](https://repost.aws/knowledge-center/config-resource-non-compliant) el uso? AWS Config.
+ Elija **Config Rules Re-evaluation Status (Config: Estado de reevaluación de reglas)** para obtener notificaciones de estado de reevaluación.
+ Elija **Config Configuration Snapshot Delivery Status (Config: Estado de entrega de instantáneas de configuración)** para obtener notificaciones de estado de entrega de instantáneas de configuración.
+ Elija **Config Configuration History Delivery Status (Config: Estado de entrega del historial de configuración)** para obtener notificaciones de estado de entrega del historial de configuración.
1. En **Método de creación,** elija **Uso de forma de patrón**.
1. En **Origen de evento**, seleccione **Servicios de AWS **.
1. Para el **Servicio de AWS **, seleccione **Config**.
1. En **Tipo de evento**, elija el tipo de evento que activará la regla:
+ Selecciona **Todos los eventos** para establecer una regla que se aplique a todos los AWS servicios. Si elige esta opción, no podrá elegir tipos de mensajes, nombres de reglas, tipos de recursos o recursos específicos IDs.
+ Seleccione **Llamar a la AWS API desde CloudTrail** para basar las reglas en las llamadas a la API realizadas a este servicio. Para obtener más información sobre la creación de este tipo de regla, consulta el [Tutorial: Crear una EventBridge regla de Amazon para llamadas a la AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Elija **Config Configuration Item Change (Config: Cambio de un elemento de configuración)** para recibir notificaciones cuando cambie un recurso de su cuenta.
Como se describe en estos artículos de soporte, puedes utilizarlos EventBridge para recibir notificaciones personalizadas por correo electrónico cuando se crea o se elimina un recurso. [¿Cómo puedo recibir notificaciones por correo electrónico personalizadas cuando se crea un recurso en el AWS Config servicio que Cuenta de AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) y [¿cómo puedo recibir notificaciones por correo electrónico personalizadas cuando se elimina un recurso del AWS Config servicio que Cuenta de AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Elija **Config Rules Compliance Change (Config: Cambio en la conformidad de las reglas)** para obtener notificaciones cuando se produzca un error en una comprobación de conformidad de sus reglas.
Como se describe en este artículo de soporte, puede utilizarlos EventBridge para recibir notificaciones personalizadas por correo electrónico cuando un recurso no es compatible. [¿Cómo puedo recibir una notificación cuando un AWS recurso no es compatible con](https://repost.aws/knowledge-center/config-resource-non-compliant) el uso? AWS Config.
+ Elija **Config Rules Re-evaluation Status (Config: Estado de reevaluación de reglas)** para obtener notificaciones de estado de reevaluación.
+ Elija **Config Configuration Snapshot Delivery Status (Config: Estado de entrega de instantáneas de configuración)** para obtener notificaciones de estado de entrega de instantáneas de configuración.
+ Elija **Config Configuration History Delivery Status (Config: Estado de entrega del historial de configuración)** para obtener notificaciones de estado de entrega del historial de configuración.
1. Elija **Any message type (Cualquier tipo de mensaje)** para recibir notificaciones de cualquier tipo. Elija **Specific message type(s) (Tipos de mensajes específicos)** para recibir los siguientes tipos de notificaciones:
+ Si lo desea **ConfigurationItemChangeNotification**, recibirá mensajes cuando cambie la configuración de un recurso que AWS Config evalúa.
+ Si lo desea **ComplianceChangeNotification**, recibirá mensajes cuando cambie el tipo de conformidad de un recurso que AWS Config evalúa.
+ Si lo desea **ConfigRulesEvaluationStarted**, recibirá mensajes cuando AWS Config comience a evaluar la regla con respecto a los recursos especificados.
+ Si lo desea **ConfigurationSnapshotDeliveryCompleted**, recibirá mensajes cuando entregue AWS Config correctamente la instantánea de configuración a su bucket de Amazon S3.
+ Si lo desea **ConfigurationSnapshotDeliveryFailed**, recibirá mensajes cuando AWS Config no pueda entregar la instantánea de configuración a su bucket de Amazon S3.
+ Si lo desea **ConfigurationSnapshotDeliveryStarted**, recibirá mensajes cuando AWS Config comience a entregar la instantánea de configuración a su bucket de Amazon S3.
+ Si lo desea **ConfigurationHistoryDeliveryCompleted**, recibirá mensajes cuando entregue AWS Config correctamente el historial de configuración a su bucket de Amazon S3.
1. Si eligió un tipo de evento específico de la lista desplegable **Tipo de evento**, elija **Cualquier tipo de recurso** para crear una regla que se aplique a todos los tipos de recursos AWS Config compatibles.
O elija **Specific resource type(s) (Tipos de recursos específicos)** y, a continuación, escriba el tipo de recurso admitido por AWS Config (por ejemplo, `AWS::EC2::Instance`).
1. Si ha elegido un tipo de evento específico en la lista desplegable **Tipo de evento**, elija **Cualquier ID de recurso** para incluir cualquier ID de recurso admitido por AWS Config .
O elija **Specific resource ID(s) (ID de recursos específicos)** y, a continuación, escriba el ID de recurso admitido por AWS Config (por ejemplo, `i-04606de676e635647`).
1. Si ha elegido un tipo de evento específico en la lista desplegable **Tipo de evento**, elija **Cualquier nombre de regla** para incluir cualquier regla admitida por AWS Config .
O elija **Specific rule name(s) (Nombres de reglas específicas)** y, a continuación, escriba la regla admitida por AWS Config (por ejemplo, **required-tags**).
1. En la lista **Seleccionar destinos**, elija el tipo de destino definido para usar con esta regla y luego configure las opciones adicionales que requiera dicho tipo.
1. Los campos mostrados varían en función del servicio que seleccione. Introduzca la información específica de este tipo de destino, según sea necesario.
1. Para muchos tipos de objetivos, EventBridge necesita permisos para enviar eventos al destino. En estos casos, EventBridge puede crear la función de IAM necesaria para que se ejecute la regla.
+ Para crear un rol de IAM automáticamente, elija **Creación de un nuevo rol para este recurso específico**.
+ Para utilizar un rol de IAM que haya creado antes, elija **Use existing role** (Usar rol existente).
1. (Opcional) Elija **Add target (Añadir destino)** para añadir otro destino para esta regla.
1. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulta las [ EventBridge etiquetas de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html).
1. Revise la configuración de las reglas para asegurarse de que se ajusta a los requisitos de monitorización de eventos.
1. Elija **Crear** para confirmar la opción elegida.