Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Monitoraggio
È possibile utilizzare altri AWS servizi per monitorare AWS Config le risorse.
+ Puoi utilizzare Amazon Simple Notification Service (SNS) per inviarti notifiche ogni volta che una AWS risorsa supportata viene creata, aggiornata o modificata in altro modo a seguito dell'attività dell'API dell'utente.
+ Puoi usare Amazon EventBridge per rilevare e reagire ai cambiamenti nello stato degli AWS Config eventi.
**Topics**
+ [Uso di Amazon SQS](monitor-resource-changes.md)
+ [Usare Amazon EventBridge](monitor-config-with-cloudwatchevents.md)
# Monitoraggio AWS delle modifiche alle risorse con Amazon SQS
AWS Config utilizza Amazon Simple Notification Service (SNS) per inviarti notifiche ogni volta che una AWS risorsa supportata viene creata, aggiornata o modificata in altro modo a seguito dell'attività dell'API dell'utente. Tuttavia, potresti essere interessato alle modifiche della configurazione relative solo a specifiche risorse. Ad esempio, potresti considerare fondamentale sapere quando viene modificata la configurazione di un gruppo di sicurezza, ma non ritieni necessario ricevere notifiche per ogni modifica ai tag delle istanze Amazon EC2. In alternativa, puoi scrivere un programma che esegue azioni specifiche quando risorse specifiche vengono aggiornate. Ad esempio, potresti voler avviare un determinato flusso di lavoro quando viene modificata la configurazione di un gruppo di sicurezza. Se desideri utilizzare programmaticamente i dati da AWS Config questi o altri modi, utilizza una coda di Amazon Simple Queue Service come endpoint di notifica per Amazon SNS.
**Nota**
Le notifiche possono anche provenire da Amazon SNS sotto forma di e-mail, messaggio SMS (Short Message Service) verso cellulari e smartphone compatibili, messaggio di notifica verso un'applicazione su un dispositivo mobile o messaggio di notifica a uno o più endpoint HTTP o HTTPS.
Puoi avere una singola coda SQS per sottoscrivere più argomenti, indipendentemente dal fatto che tu abbia un argomento per ogni regione o un argomento per ogni account per ogni regione. Devi sottoscrivere la coda all'argomento SNS desiderato. (Puoi sottoscrivere molteplici code a un unico argomento SNS). Per ulteriori informazioni, consulta [Invio di messaggi Amazon SNS a code Amazon SQS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html).
## Autorizzazioni per Amazon SQS
Per utilizzare Amazon SQS con AWS Config, devi configurare una policy che conceda al tuo account le autorizzazioni per eseguire tutte le azioni consentite su una coda SQS. La policy di esempio seguente concede all'account numero 111122223333 e all'account numero 444455556666 l'autorizzazione all'invio di messaggi relativi a ogni modifica della configurazione verso la coda denominata arn:aws:sqs:us-east-2:444455556666:queue1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
Inoltre, è necessario creare una policy che conceda le autorizzazioni alle connessioni tra un argomento SNS e la coda SQS che si sottoscrive a tale argomento. Di seguito è riportato un esempio di policy che consente all'argomento SNS con Amazon Resource Name (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic di eseguire qualsiasi azione sulla coda denominata arn:aws:sqs:us-east- 2:111122223333:. test-topic-queue
**Nota**
Gli account dell'argomento SNS e della coda SQS devono appartenere alla stessa regione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
Ogni policy può includere istruzioni che riguardano solo una singola coda, non più code. Per informazioni su altre restrizioni sulle policy di Amazon SQS, consulta [Informazioni specifiche alle policy Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html).
# Monitoraggio AWS Config con Amazon EventBridge
Amazon EventBridge offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle AWS risorse. Usa Amazon EventBridge per rilevare e reagire ai cambiamenti nello stato degli AWS Config eventi.
È possibile scegliere di creare una regola che venga eseguita ogni volta che si verifica una transizione di stato o quando si verifica una transizione verso uno o più stati di interesse. Quindi, in base alle regole che EventBridge crei, Amazon richiama una o più azioni mirate quando un evento corrisponde ai valori specificati in una regola. A seconda del tipo di evento, potresti voler inviare notifiche, acquisire informazioni sull'evento, intraprendere un'azione correttiva, avviare eventi o eseguire altre operazioni.
Prima di creare regole per gli eventi AWS Config, tuttavia, devi fare quanto segue:
+ Acquisisci familiarità con eventi, regole e obiettivi in. EventBridge Per ulteriori informazioni, consulta [What Is Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ Per ulteriori informazioni su come iniziare EventBridge e configurare le regole, consulta [Getting started with Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html).
+ Crea la destinazione o le destinazioni da utilizzare nelle regole degli eventi.
**Topics**
+ [Considerazioni](#monitor-config-with-cloudwatchevents-considerations)
+ [EventBridge Formato Amazon per AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [Creazione di Amazon EventBridge Rule per AWS Config](#create-cloudwatch-events-rule-for-awsconfig)
## Considerazioni
Non riceverai avvisi EventBridge per i seguenti tipi di risorse se non li registri con AWS Config:
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## EventBridge Formato Amazon per AWS Config
L' EventBridge [evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) per AWS Config ha il seguente formato:
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## Creazione di Amazon EventBridge Rule per AWS Config
Utilizza i seguenti passaggi per creare una EventBridge regola che si attiva in base a un evento emesso da. AWS Config Gli eventi vengono emessi secondo il principio del massimo sforzo.
1. Nel pannello di navigazione, scegli **Regole**.
1. Scegli **Crea regola**.
1. Inserisci un nome e una descrizione per la regola.
Una regola non può avere lo stesso nome di un'altra regola nella stessa Regione e sullo stesso router di eventi.
**Nota**
Un bus di eventi riceve eventi da una fonte, utilizza regole per valutarli, applica qualsiasi trasformazione di input configurata e li indirizza verso le destinazioni appropriate. Il bus eventi predefinito del tuo account riceve eventi da Servizi AWS. Un bus di eventi personalizzato può ricevere eventi dalle tue applicazioni e dai tuoi servizi personalizzati. Un bus eventi partner riceve eventi da una fonte di eventi creata da un partner SaaS. Questi eventi provengono dai servizi o dalle applicazioni del partner. Per ulteriori informazioni, consulta [Event bus in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) nella *Amazon EventBridge User Guide*.
1. Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
1. Per **Event source**, scegli **AWS eventi o eventi per i EventBridge partner**.
1. (Opzionale) In **Tipo evento di esempio**, seleziona **Eventi AWS **.
1. (Opzionale) In **Eventi di esempio**, seleziona il tipo di evento che deve attivare la regola:
+ Scegli **AWS API Call tra CloudTrail** per basare le regole sulle chiamate API effettuate a questo servizio. Per ulteriori informazioni sulla creazione di questo tipo di regola, consulta [Tutorial: Crea una EventBridge regola Amazon per le chiamate AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Scegli **Config Configuration Item Change (Modifica all'elemento della configurazione di Config)** per ricevere una notifica quando una risorsa nel tuo account subisce modifiche.
Come descritto in questi articoli di supporto, puoi utilizzare EventBridge per ricevere notifiche e-mail personalizzate quando una risorsa viene creata o eliminata. [Come posso ricevere notifiche e-mail personalizzate quando una risorsa viene creata nel mio AWS Config servizio di Account AWS utilizzo?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) e [come posso ricevere notifiche e-mail personalizzate quando una risorsa viene eliminata nel mio AWS Config servizio di Account AWS utilizzo?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Scegli **Config Rules Compliance Change (Modifica alla conformità delle regole di Config)** per ricevere una notifica quando un controllo di conformità delle regole ha esito negativo.
Come descritto in questo articolo di supporto, è possibile utilizzare EventBridge per ricevere notifiche e-mail personalizzate quando una risorsa non è conforme. [Come posso ricevere una notifica quando una AWS risorsa non è](https://repost.aws/knowledge-center/config-resource-non-compliant) conforme utilizzando? AWS Config.
+ Scegli **Config Rules Re-evaluation Status (Stato rivalutazione delle regole di Config)** per ricevere una notifica sullo stato della rivalutazione.
+ Scegli **Config Configuration Snapshot Delivery Status (Stato distribuzione snapshot di configurazione di Config)** per ricevere una notifica sullo stato di distribuzione degli snapshot di configurazione.
+ Scegli **Config Configuration Snapshot Delivery Status (Stato distribuzione cronologia di configurazione di Config)** per ricevere una notifica sullo stato di distribuzione della cronologia di configurazione.
1. In **Metodo di creazione** scegli **Utilizza modulo del modello**.
1. Per **Origine evento**, scegli **Servizi AWS **.
1. In **Servizio AWS **, scegli **Config**.
1. In **Tipo di evento**, seleziona il tipo di evento che deve attivare la regola:
+ Scegli **Tutti gli eventi** per creare una regola valida per tutti i AWS servizi. Se scegli questa opzione, non puoi scegliere tipi di messaggi, nomi di regole, tipi di risorse o risorse specifici IDs.
+ Scegli **AWS API Call tra CloudTrail** per basare le regole sulle chiamate API effettuate a questo servizio. Per ulteriori informazioni sulla creazione di questo tipo di regola, consulta [Tutorial: Crea una EventBridge regola Amazon per le chiamate AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Scegli **Config Configuration Item Change (Modifica all'elemento della configurazione di Config)** per ricevere una notifica quando una risorsa nel tuo account subisce modifiche.
Come descritto in questi articoli di supporto, puoi utilizzare EventBridge per ricevere notifiche e-mail personalizzate quando una risorsa viene creata o eliminata. [Come posso ricevere notifiche e-mail personalizzate quando una risorsa viene creata nel mio AWS Config servizio di Account AWS utilizzo?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) e [come posso ricevere notifiche e-mail personalizzate quando una risorsa viene eliminata nel mio AWS Config servizio di Account AWS utilizzo?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Scegli **Config Rules Compliance Change (Modifica alla conformità delle regole di Config)** per ricevere una notifica quando un controllo di conformità delle regole ha esito negativo.
Come descritto in questo articolo di supporto, è possibile utilizzare EventBridge per ricevere notifiche e-mail personalizzate quando una risorsa non è conforme. [Come posso ricevere una notifica quando una AWS risorsa non è](https://repost.aws/knowledge-center/config-resource-non-compliant) conforme utilizzando? AWS Config.
+ Scegli **Config Rules Re-evaluation Status (Stato rivalutazione delle regole di Config)** per ricevere una notifica sullo stato della rivalutazione.
+ Scegli **Config Configuration Snapshot Delivery Status (Stato distribuzione snapshot di configurazione di Config)** per ricevere una notifica sullo stato di distribuzione degli snapshot di configurazione.
+ Scegli **Config Configuration Snapshot Delivery Status (Stato distribuzione cronologia di configurazione di Config)** per ricevere una notifica sullo stato di distribuzione della cronologia di configurazione.
1. Scegli **Any message type (Qualsiasi tipo di messaggio)** per ricevere notifiche di qualsiasi tipo. Scegli **Specific message type(s) (Tipo/i di messaggio specifico/i)** per ricevere i seguenti tipi di notifiche:
+ Se lo scegli **ConfigurationItemChangeNotification**, ricevi messaggi quando la configurazione di una risorsa che AWS Config valuta è cambiata.
+ Se lo scegli **ComplianceChangeNotification**, ricevi messaggi quando il tipo di conformità di una risorsa che AWS Config valuta è cambiato.
+ Se si sceglie questa opzione **ConfigRulesEvaluationStarted**, si ricevono messaggi quando si AWS Config inizia a valutare la regola rispetto alle risorse specificate.
+ Se lo desideri **ConfigurationSnapshotDeliveryCompleted**, riceverai messaggi quando consegnerai AWS Config correttamente lo snapshot di configurazione al tuo bucket Amazon S3.
+ Se lo desideri **ConfigurationSnapshotDeliveryFailed**, ricevi messaggi quando AWS Config non riesci a consegnare lo snapshot di configurazione al tuo bucket Amazon S3.
+ Se lo desideri **ConfigurationSnapshotDeliveryStarted**, riceverai messaggi quando AWS Config inizia a distribuire lo snapshot di configurazione al tuo bucket Amazon S3.
+ Se lo desideri **ConfigurationHistoryDeliveryCompleted**, riceverai messaggi quando invii AWS Config correttamente la cronologia di configurazione al tuo bucket Amazon S3.
1. Se hai scelto un tipo di evento specifico dall'elenco a discesa **Tipo di evento**, scegli **Qualsiasi tipo di risorsa per creare una regola che si applichi a tutti i tipi** di risorse AWS Config supportati.
Oppure scegli **Specific resource type(s) (Tipo/i specifico/i di risorse)**, quindi digita il tipo di risorsa di AWS Config supportato (ad esempio `AWS::EC2::Instance`).
1. Se scegli uno specifico tipo di evento dall'elenco a discesa **Tipo di evento**, scegli **Qualsiasi ID di risorsa** per includere tutti gli ID di risorsa AWS Config supportati.
Oppure scegli **Specific resource ID(s) (ID specifico/i di risorse)**, quindi digita l'ID della risorsa di AWS Config supportata (ad esempio `i-04606de676e635647`).
1. Se scegli uno specifico tipo di evento dall'elenco a discesa **Tipo di evento**, scegli **Qualsiasi nome di regola** per includere tutti le regole AWS Config supportate.
Oppure scegli **Specific resource type(s) (Tipo/i specifico/i di risorse)**, quindi digita la regola di AWS Config supportata (ad esempio **required-tags**).
1. In **Seleziona destinazioni**, scegli il tipo di destinazione da utilizzare con questa regola, quindi configura le eventuali altre opzioni richieste da questo tipo specifico.
1. I campi visualizzati variano a seconda del servizio scelto. Se necessario, inserisci le informazioni specifiche per questo tipo di destinazione.
1. Per molti tipi di oggetto, EventBridge sono necessarie le autorizzazioni per inviare eventi alla destinazione. In questi casi, EventBridge può creare il ruolo IAM necessario per l'esecuzione della regola.
+ Per creare un ruolo IAM automaticamente, seleziona **Crea un nuovo ruolo per questa risorsa specifica**.
+ Per utilizzare un ruolo IAM creato in precedenza, seleziona **Use existing role (Utilizza un ruolo esistente)**.
1. (Facoltativo) Scegliere **Add target (Aggiungi target)** per aggiungere un altro target per questa regola.
1. (Facoltativo) Inserire uno o più tag per la regola. Per ulteriori informazioni, consulta [Amazon EventBridge tags](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html).
1. Verifica la configurazione delle regole per accertarti che soddisfi i tuoi requisiti di monitoraggio di eventi.
1. Scegli **Crea** per confermare la scelta.