Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Connexion et surveillance AWS Config
AWS Config est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans AWS Config. La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité AWS Config et des performances de vos AWS solutions.
**Topics**
+ [Logging](log-api-calls.md)
+ [Monitoring](monitoring.md)
# Journalisation des appels d' AWS Config API avec AWS CloudTrail
CloudTrail capture tous les appels d'API AWS Config sous forme d'événements. Les appels capturés incluent des appels provenant de la AWS Config console et des appels de code vers les opérations de l' AWS Config API. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris les événements pour AWS Config. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite AWS Config, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires.
Pour en savoir plus CloudTrail, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Config Informations dans CloudTrail](#service-name-info-in-cloudtrail)
+ [Comprendre les entrées du fichier AWS Config journal](#understanding-awsconfig-entries)
+ [Exemples de fichiers journaux](#cloudtrail-log-files-for-aws-config)
## AWS Config Informations dans CloudTrail
CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Lorsqu'une activité se produit dans AWS Config, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans **l'historique des événements**. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements de votre région Compte AWS, y compris des événements pour AWS Config, créez un parcours. Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions Régions AWS. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :
+ [Vue d’ensemble de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Toutes les AWS Config opérations sont enregistrées CloudTrail et documentées dans la [référence de l'AWS Config API](https://docs.aws.amazon.com/config/latest/APIReference/). Par exemple, les appels aux [DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)opérations [DeliverConfigSnapshot[DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html), et génèrent des entrées dans les fichiers CloudTrail journaux.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été faite avec les informations d'identification de l'utilisateur root ou Gestion des identités et des accès AWS (IAM).
+ Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
+ Si la demande a été faite par un autre AWS service.
Pour plus d’informations, consultez la section [Élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Comprendre les entrées du fichier AWS Config journal
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
## Exemples de fichiers journaux
Pour des exemples d'entrées de CloudTrail journal, consultez les rubriques suivantes.
------
#### [ DeleteDeliveryChannel ]
Voici un exemple de fichier CloudTrail journal pour l'[DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:32:57Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeleteDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-internal/3",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": null,
"requestID": "207d695a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "5dcff7a9-e414-411a-a43e-88d122a0ad4a",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DeliverConfigSnapshot ]
Voici un exemple de fichier CloudTrail journal pour l'[DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:53Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeliverConfigSnapshot",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": {
"configSnapshotId": "58d50f10-212d-4fa4-842e-97c614da67ce"
},
"requestID": "e0248561-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "3e88076c-eae1-4aa6-8990-86fe52aedbd8",
"eventType": "AwsApiCall",
recipientAccountId": "111111111111"
}
```
------
#### [ DescribeConfigurationRecorderStatus ]
Voici un exemple de fichier CloudTrail journal pour l'[DescribeConfigurationRecorderStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorderStatus.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:44Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorderStatus",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "8442f25d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "a675b36b-455f-4e18-a4bc-d3e01749d3f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeConfigurationRecorders ]
Voici un exemple de fichier CloudTrail journal pour l'[DescribeConfigurationRecorders](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorders.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:34:52Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorders",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6566b55c-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6259a9ad-889e-423b-beeb-6e1eec84a8b5",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeDeliveryChannels ]
Voici un exemple de fichier CloudTrail journal de l'[DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:02Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeDeliveryChannels",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6b6aee3f-8164-11e4-ab4f-657c7ab282ab",
"eventID": "3e15ebc5-bf39-4d2a-8b64-9392807985f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ GetResourceConfigHistory ]
Voici un exemple de fichier CloudTrail journal pour l'[GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:42Z",
"eventSource": "config.amazonaws.com",
"eventName": "GetResourceConfigHistory",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"resourceId": "vpc-a12bc345",
"resourceType": "AWS::EC2::VPC",
"limit": 0,
"laterTime": "Dec 11, 2014 12:58:42 AM",
"earlierTime": "Dec 10, 2014 4:58:42 PM"
},
"responseElements": null,
"requestID": "d9f3490d-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "ba9c1766-d28f-40e3-b4c6-3ffb87dd6166",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
------
#### [ PutConfigurationRecorder ]
Voici un exemple de fichier CloudTrail journal pour l'[PutConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationRecorder.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:23Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorder": {
"name": "default",
"roleARN": "arn:aws:iam::222222222222:role/config-role-pdx"
}
},
"responseElements": null,
"requestID": "779f7917-8164-11e4-ab4f-657c7ab282ab",
"eventID": "c91f3daa-96e8-44ee-8ddd-146ac06565a7",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ PutDeliveryChannel ]
Voici un exemple de fichier CloudTrail journal pour l'[PutDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_PutDeliveryChannel.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:33:08Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannel": {
"name": "default",
"s3BucketName": "config-api-test-pdx",
"snsTopicARN": "arn:aws:sns:us-west-2:222222222222:config-api-test-pdx"
}
},
"responseElements": null,
"requestID": "268b8d4d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "b2db05f1-1c73-4e52-b238-db69c04e8dd4",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StartConfigurationRecorder ]
Voici un exemple de fichier CloudTrail journal pour l'[StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:34Z",
"eventSource": "config.amazonaws.com",
"eventName": "StartConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "7e03fa6a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "55a5507f-f306-4896-afe3-196dc078a88d",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StopConfigurationRecorder ]
Voici un exemple de fichier CloudTrail journal pour l'[StopConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StopConfigurationRecorder.html)opération.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:13Z",
"eventSource": "config.amazonaws.com",
"eventName": "StopConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "716deea3-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6225a85d-1e49-41e9-bf43-3cfc5549e560",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
# Contrôle
Vous pouvez utiliser d'autres AWS services pour surveiller les AWS Config ressources.
+ Vous pouvez utiliser Amazon Simple Notification Service (SNS) pour vous envoyer des notifications chaque fois qu'une AWS ressource prise en charge est créée, mise à jour ou modifiée suite à l'activité de l'API utilisateur.
+ Vous pouvez utiliser Amazon EventBridge pour détecter les changements de statut des AWS Config événements et y réagir.
**Topics**
+ [Utilisation d’Amazon SQS](monitor-resource-changes.md)
+ [Utilisation d'Amazon EventBridge](monitor-config-with-cloudwatchevents.md)
# Surveillance des modifications AWS des ressources avec Amazon SQS
AWS Config utilise Amazon Simple Notification Service (SNS) pour vous envoyer des notifications chaque fois qu'une AWS ressource prise en charge est créée, mise à jour ou modifiée suite à l'activité de l'API utilisateur. Cependant, vous ne vous intéressez peut-être qu'aux changements de configuration de certaines ressources. A titre d'exemple, il pourrait vous sembler essentiel d'être averti de chaque changement de configuration d'un groupe de sécurité, sans pour autant être informé de chaque modification apportée aux balises de vos instances Amazon EC2. Vous pourriez écrire un programme qui exécute des actions spécifiques lorsque des ressources spécifiques sont mises à jour. Par exemple, vous pourriez vouloir démarrer un certain flux de travail lorsque la configuration d'un groupe de sécurité est modifiée. Si vous souhaitez utiliser les données par programmation de AWS Config cette manière ou d'une autre, utilisez une file d'attente Amazon Simple Queue Service comme point de terminaison de notification pour Amazon SNS.
**Note**
Des notifications peuvent également provenir d'Amazon SNS sous la forme d'un e-mail, de SMS (Short Message Service) envoyés vers des téléphones mobiles qui prennent en charge les SMS et des smartphones, sous la forme d'un message de notification vers une application sur un appareil mobile ou sous la forme d'un message de notification vers un ou plusieurs points de terminaison HTTP ou HTTPS.
Vous pouvez avoir une seule file d'attente SQS pour s'abonner à plusieurs sujets, que vous ayez un sujet pour chaque région ou un sujet pour chaque compte pour chaque région. Vous devez vous abonner à la file d'attente de votre rubrique SNS souhaitée. (Vous pouvez vous abonner à plusieurs files d'attente d'une rubrique SNS.) Pour plus d'informations, consultez [Envoi de messages d'Amazon SNS aux files d'attente Amazon SQS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html).
## Autorisations pour Amazon SQS
Pour utiliser Amazon SQS avec AWS Config, vous devez configurer une politique qui accorde des autorisations à votre compte pour effectuer toutes les actions autorisées sur une file d'attente SQS. L'exemple de stratégie suivant accorde au numéro de compte 111122223333 et au numéro de compte 444455556666 la permission d'envoyer des messages se rapportant à chaque changement de configuration dans la file d'attente nommée arn:aws:sqs:us-east-2:444455556666:queue1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
Vous devez également créer une stratégie qui accorde des autorisations pour les connexions entre une rubrique SNS et la file d'attente SQS qui souscrit à cette rubrique. Voici un exemple de politique qui permet à la rubrique SNS portant le nom de ressource Amazon (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic d'effectuer des actions sur la file d'attente nommée arn:aws:sqs:us-east- 2:111122223333 :. test-topic-queue
**Note**
Le compte de la rubrique SNS et la file d'attente SQS doivent être dans la même région.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
Chaque stratégie peut inclure des instructions qui couvrent uniquement une seule file d'attente, et non plusieurs files d'attente. Pour plus d'informations sur les autres restrictions sur les politiques Amazon SQS, consultez [Informations spéciales relatives aux politiques Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html).
# Surveillance AWS Config avec Amazon EventBridge
Amazon EventBridge fournit un flux d'événements système en temps quasi réel qui décrivent les modifications apportées aux AWS ressources. Utilisez Amazon EventBridge pour détecter les changements de statut des AWS Config événements et y réagir.
Vous pouvez créer une règle qui s'exécute à chaque changement de statut ou lorsqu'un ou plusieurs statuts spécifiques sont activés. Ensuite, en fonction des règles que vous créez, Amazon EventBridge invoque une ou plusieurs actions cibles lorsqu'un événement correspond aux valeurs que vous spécifiez dans une règle. En fonction du type d’événement, vous pouvez envoyer des notifications, capturer les informations sur l’événement, prendre des mesures correctives, déclencher des événements ou prendre d’autres mesures.
Avant de créer des règles d'événement pour AWS Config, toutefois, vous devez effectuer les opérations suivantes :
+ Familiarisez-vous avec les événements, les règles et les cibles dans EventBridge. Pour plus d'informations, consultez [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ Pour plus d'informations sur la prise en main EventBridge et la configuration des règles, consultez [Getting started with Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html).
+ Créez la ou les cible(s), que vous allez utiliser dans vos règles d'événement.
**Topics**
+ [Considérations](#monitor-config-with-cloudwatchevents-considerations)
+ [EventBridge Format Amazon pour AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [Création d'une EventBridge règle Amazon pour AWS Config](#create-cloudwatch-events-rule-for-awsconfig)
## Considérations
Vous ne recevrez pas d'alertes EventBridge pour les types de ressources suivants si vous ne les enregistrez pas avec AWS Config :
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## EventBridge Format Amazon pour AWS Config
L' EventBridge [événement](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) pour AWS Config a le format suivant :
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## Création d'une EventBridge règle Amazon pour AWS Config
Suivez les étapes ci-dessous pour créer une EventBridge règle qui se déclenche sur un événement émis par AWS Config. Les événements sont générés dans la mesure du possible.
1. Dans le volet de navigation, choisissez **Règles**.
1. Choisissez **Créer une règle**.
1. Saisissez un nom et une description pour la règle.
Une règle ne peut pas avoir le même nom qu'une autre règle de la même région et sur le même bus d'événement.
**Note**
Un bus d'événements reçoit les événements d'une source, utilise des règles pour les évaluer, applique toute transformation d'entrée configurée et les achemine vers les cibles appropriées. Le bus d'événements par défaut de votre compte reçoit les événements de Services AWS. Un bus d'événements personnalisé peut recevoir des événements provenant de vos applications et services personnalisés. Un bus d'événements partenaire reçoit des événements provenant d'une source d'événements créée par un partenaire SaaS. Ces événements proviennent des services ou applications des partenaires. Pour plus d'informations, consultez la section [Event bus in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) dans le *guide de EventBridge l'utilisateur Amazon*.
1. Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
1. Dans **Source de l'événement**, sélectionnez **AWS événements ou événements EventBridge partenaires**.
1. (Facultatif) Pour **Type d'exemple d'événement**, choisissez **Événements AWS **.
1. Pour **Exemple d'événements**, choisissez le type d'événement qui déclenche la règle :
+ Choisissez **AWS API Call from CloudTrail** pour baser les règles sur les appels d'API effectués vers ce service. Pour plus d'informations sur la création de ce type de règle, consultez [Tutoriel : Création d'une EventBridge règle Amazon pour les appels AWS CloudTrail d'API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Choisissez **Config Configuration Item Change** pour recevoir des notifications lorsqu'une ressource de votre compte est modifiée.
Comme décrit dans ces articles d'assistance, vous pouvez utiliser EventBridge pour recevoir des notifications par e-mail personnalisées lorsqu'une ressource est créée ou supprimée. [Comment puis-je recevoir des notifications par e-mail personnalisées lorsqu'une ressource est créée dans mon AWS Config service Compte AWS d'utilisation ?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) et [Comment puis-je recevoir des notifications par e-mail personnalisées lorsqu'une ressource est supprimée dans mon AWS Config service Compte AWS d'utilisation ?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Choisissez **Config Rules Compliance Change** pour recevoir des notifications lorsqu'une vérification de conformité de vos règles échoue.
Comme décrit dans cet article de support, vous pouvez utiliser EventBridge pour recevoir des notifications par e-mail personnalisées lorsqu'une ressource n'est pas conforme. [Comment puis-je être averti lorsqu'une AWS ressource n'est pas conforme](https://repost.aws/knowledge-center/config-resource-non-compliant) en utilisant ? AWS Config.
+ Choisissez **Config Rules Re-evaluation Status** pour recevoir des notifications de statut de réévaluation.
+ Choisissez **Config Configuration Snapshot Delivery Status** pour recevoir des notifications du statut de diffusion d'un instantané de configuration.
+ Choisissez **Config Configuration History Delivery Status** pour recevoir des notifications du statut de diffusion d'un historique de configuration.
1. Pour la **Méthode de création**, choisissez **Utiliser le formulaire de modèle**.
1. Pour **Source d'événement**, choisissez **Services AWS **.
1. Pour le **Service AWS **, choisissez **Config**.
1. Pour **Type d'événement**, choisissez le type d'événement qui déclenche la règle :
+ Choisissez **Tous les événements** pour établir une règle qui s'applique à tous les AWS services. Si vous choisissez cette option, vous ne pouvez pas choisir des types de messages, des noms de règles, des types de ressources ou des ressources spécifiques IDs.
+ Choisissez **AWS API Call from CloudTrail** pour baser les règles sur les appels d'API effectués vers ce service. Pour plus d'informations sur la création de ce type de règle, consultez [Tutoriel : Création d'une EventBridge règle Amazon pour les appels AWS CloudTrail d'API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Choisissez **Config Configuration Item Change** pour recevoir des notifications lorsqu'une ressource de votre compte est modifiée.
Comme décrit dans ces articles d'assistance, vous pouvez utiliser EventBridge pour recevoir des notifications par e-mail personnalisées lorsqu'une ressource est créée ou supprimée. [Comment puis-je recevoir des notifications par e-mail personnalisées lorsqu'une ressource est créée dans mon AWS Config service Compte AWS d'utilisation ?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) et [Comment puis-je recevoir des notifications par e-mail personnalisées lorsqu'une ressource est supprimée dans mon AWS Config service Compte AWS d'utilisation ?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Choisissez **Config Rules Compliance Change** pour recevoir des notifications lorsqu'une vérification de conformité de vos règles échoue.
Comme décrit dans cet article de support, vous pouvez utiliser EventBridge pour recevoir des notifications par e-mail personnalisées lorsqu'une ressource n'est pas conforme. [Comment puis-je être averti lorsqu'une AWS ressource n'est pas conforme](https://repost.aws/knowledge-center/config-resource-non-compliant) en utilisant ? AWS Config.
+ Choisissez **Config Rules Re-evaluation Status** pour recevoir des notifications de statut de réévaluation.
+ Choisissez **Config Configuration Snapshot Delivery Status** pour recevoir des notifications du statut de diffusion d'un instantané de configuration.
+ Choisissez **Config Configuration History Delivery Status** pour recevoir des notifications du statut de diffusion d'un historique de configuration.
1. Choisissez **Tout type de message** pour recevoir des notifications de tout type. Choisissez **Type(s) de message spécifique(s)** pour recevoir les types de notification suivants :
+ Si vous le souhaitez **ConfigurationItemChangeNotification**, vous recevez des messages lorsque la configuration d'une ressource qui AWS Config évalue a changé.
+ Si vous le souhaitez **ComplianceChangeNotification**, vous recevez des messages lorsque le type de conformité d'une ressource qui AWS Config évalue a changé.
+ Si vous le souhaitez **ConfigRulesEvaluationStarted**, vous recevez des messages lorsque vous AWS Config commencez à évaluer votre règle par rapport aux ressources spécifiées.
+ Si vous le souhaitez **ConfigurationSnapshotDeliveryCompleted**, vous recevez des messages lorsque l'instantané de configuration est AWS Config correctement envoyé à votre compartiment Amazon S3.
+ Si vous le souhaitez **ConfigurationSnapshotDeliveryFailed**, vous recevez des messages lorsque vous AWS Config ne parvenez pas à fournir l'instantané de configuration à votre compartiment Amazon S3.
+ Si vous le souhaitez **ConfigurationSnapshotDeliveryStarted**, vous recevez des messages lorsque AWS Config vous commencez à envoyer l'instantané de configuration à votre compartiment Amazon S3.
+ Si vous le souhaitez **ConfigurationHistoryDeliveryCompleted**, vous recevez des messages lorsque l'historique de configuration est AWS Config correctement transmis à votre compartiment Amazon S3.
1. Si vous avez choisi un type d'événement spécifique dans la liste déroulante **Type d'événement**, choisissez **N'importe quel type de ressource** pour établir une règle qui s'applique à tous les types de ressources AWS Config pris en charge.
Vous pouvez aussi choisir **Type(s) de ressource spécifique(s)**, puis saisir le type de ressource pris en charge par AWS Config (par exemple, `AWS::EC2::Instance`).
1. Si vous choisissez un type d'événement spécifique dans la liste déroulante **Type d'événement**, choisissez **N'importe quel ID de ressource** pour inclure tous les ID de ressource pris en charge par AWS Config .
Vous pouvez aussi choisir **ID de ressource spécifique(s)**, puis saisir l'ID de ressource pris en charge par AWS Config (par exemple, `i-04606de676e635647`).
1. Si vous choisissez un type d'événement spécifique dans la liste déroulante **Type d'événement**, choisissez **Tout nom de règle** pour inclure toutes les règles prises en charge par AWS Config .
Vous pouvez aussi choisir **Nom(s) de règle spécifique(s)**, puis saisir la règle prise en charge par AWS Config (par exemple, **required-tags**).
1. Pour **Sélectionner une ou plusieurs cibles**, choisissez le type de cible que vous avez préparé pour l'utiliser avec cette règle, puis configurez les options supplémentaires requises par ce type de cible.
1. Les champs affichés varient en fonction du service que vous choisissez. Entrez les informations spécifiques requises pour ce type de cible.
1. Pour de nombreux types de cibles, EventBridge nécessite des autorisations pour envoyer des événements à la cible. Dans ces cas, EventBridge vous pouvez créer le rôle IAM nécessaire à l'exécution de votre règle.
+ Pour créer un rôle IAM automatiquement, sélectionnez **Create a new role for this specific resource**.
+ Pour utiliser un rôle IAM que vous avez créé auparavant, sélectionnez **Use existing role (Utiliser un rôle existant)**.
1. (Facultatif) Sélectionnez **Ajouter une cible** pour ajouter une autre cible pour cette règle.
1. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez [Amazon EventBridge tags](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html).
1. Passez en revue la configuration de votre règle pour vous assurer qu'elle correspond à vos besoins de surveillance des événements.
1. Choisissez **Créer** pour confirmer votre sélection.