Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrazione e monitoraggio AWS Config
AWS Config è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in AWS Config. Il monitoraggio è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni delle AWS Config AWS soluzioni esistenti.
**Topics**
+ [Registrazione dei log](log-api-calls.md)
+ [Monitoring](monitoring.md)
# Registrazione delle chiamate AWS Config API con AWS CloudTrail
CloudTrail acquisisce tutte le chiamate API per AWS Config gli eventi as. Le chiamate acquisite includono chiamate dalla AWS Config console e chiamate di codice alle operazioni AWS Config API. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per. AWS Config Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli **eventi**. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare a quale richiesta è stata inviata AWS Config, l'indirizzo IP da cui è stata effettuata, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per ulteriori informazioni CloudTrail, consulta la [Guida AWS CloudTrail per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Config Informazioni in CloudTrail](#service-name-info-in-cloudtrail)
+ [Comprensione delle AWS Config voci dei file di registro](#understanding-awsconfig-entries)
+ [Esempio di file di log](#cloudtrail-log-files-for-aws-config)
## AWS Config Informazioni in CloudTrail
CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. Quando si verifica un'attività in AWS Config, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella **cronologia degli eventi**. Puoi visualizzare, cercare e scaricare eventi recenti in Account AWS. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi del tuo sito Account AWS, inclusi gli eventi di AWS Config, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte AWS Config le operazioni vengono registrate CloudTrail e documentate nell'[AWS Config API](https://docs.aws.amazon.com/config/latest/APIReference/) Reference. Ad esempio, le chiamate alle [DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)operazioni [DeliverConfigSnapshot[DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html), e generano voci nei file di CloudTrail registro.
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Comprensione delle AWS Config voci dei file di registro
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
## Esempio di file di log
Per esempi di voci di CloudTrail registro, consultate i seguenti argomenti.
------
#### [ DeleteDeliveryChannel ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:32:57Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeleteDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-internal/3",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": null,
"requestID": "207d695a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "5dcff7a9-e414-411a-a43e-88d122a0ad4a",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DeliverConfigSnapshot ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:53Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeliverConfigSnapshot",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": {
"configSnapshotId": "58d50f10-212d-4fa4-842e-97c614da67ce"
},
"requestID": "e0248561-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "3e88076c-eae1-4aa6-8990-86fe52aedbd8",
"eventType": "AwsApiCall",
recipientAccountId": "111111111111"
}
```
------
#### [ DescribeConfigurationRecorderStatus ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[DescribeConfigurationRecorderStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorderStatus.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:44Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorderStatus",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "8442f25d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "a675b36b-455f-4e18-a4bc-d3e01749d3f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeConfigurationRecorders ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[DescribeConfigurationRecorders](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorders.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:34:52Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorders",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6566b55c-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6259a9ad-889e-423b-beeb-6e1eec84a8b5",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeDeliveryChannels ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:02Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeDeliveryChannels",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6b6aee3f-8164-11e4-ab4f-657c7ab282ab",
"eventID": "3e15ebc5-bf39-4d2a-8b64-9392807985f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ GetResourceConfigHistory ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:42Z",
"eventSource": "config.amazonaws.com",
"eventName": "GetResourceConfigHistory",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"resourceId": "vpc-a12bc345",
"resourceType": "AWS::EC2::VPC",
"limit": 0,
"laterTime": "Dec 11, 2014 12:58:42 AM",
"earlierTime": "Dec 10, 2014 4:58:42 PM"
},
"responseElements": null,
"requestID": "d9f3490d-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "ba9c1766-d28f-40e3-b4c6-3ffb87dd6166",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
------
#### [ PutConfigurationRecorder ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[PutConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationRecorder.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:23Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorder": {
"name": "default",
"roleARN": "arn:aws:iam::222222222222:role/config-role-pdx"
}
},
"responseElements": null,
"requestID": "779f7917-8164-11e4-ab4f-657c7ab282ab",
"eventID": "c91f3daa-96e8-44ee-8ddd-146ac06565a7",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ PutDeliveryChannel ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[PutDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_PutDeliveryChannel.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:33:08Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannel": {
"name": "default",
"s3BucketName": "config-api-test-pdx",
"snsTopicARN": "arn:aws:sns:us-west-2:222222222222:config-api-test-pdx"
}
},
"responseElements": null,
"requestID": "268b8d4d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "b2db05f1-1c73-4e52-b238-db69c04e8dd4",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StartConfigurationRecorder ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:34Z",
"eventSource": "config.amazonaws.com",
"eventName": "StartConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "7e03fa6a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "55a5507f-f306-4896-afe3-196dc078a88d",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StopConfigurationRecorder ]
Di seguito è riportato un file di CloudTrail registro di esempio per l'[StopConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StopConfigurationRecorder.html)operazione.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:13Z",
"eventSource": "config.amazonaws.com",
"eventName": "StopConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "716deea3-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6225a85d-1e49-41e9-bf43-3cfc5549e560",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
# Monitoraggio
È possibile utilizzare altri AWS servizi per monitorare AWS Config le risorse.
+ Puoi utilizzare Amazon Simple Notification Service (SNS) per inviarti notifiche ogni volta che una AWS risorsa supportata viene creata, aggiornata o modificata in altro modo a seguito dell'attività dell'API dell'utente.
+ Puoi usare Amazon EventBridge per rilevare e reagire ai cambiamenti nello stato degli AWS Config eventi.
**Topics**
+ [Uso di Amazon SQS](monitor-resource-changes.md)
+ [Usare Amazon EventBridge](monitor-config-with-cloudwatchevents.md)
# Monitoraggio AWS delle modifiche alle risorse con Amazon SQS
AWS Config utilizza Amazon Simple Notification Service (SNS) per inviarti notifiche ogni volta che una AWS risorsa supportata viene creata, aggiornata o modificata in altro modo a seguito dell'attività dell'API dell'utente. Tuttavia, potresti essere interessato alle modifiche della configurazione relative solo a specifiche risorse. Ad esempio, potresti considerare fondamentale sapere quando viene modificata la configurazione di un gruppo di sicurezza, ma non ritieni necessario ricevere notifiche per ogni modifica ai tag delle istanze Amazon EC2. In alternativa, puoi scrivere un programma che esegue azioni specifiche quando risorse specifiche vengono aggiornate. Ad esempio, potresti voler avviare un determinato flusso di lavoro quando viene modificata la configurazione di un gruppo di sicurezza. Se desideri utilizzare programmaticamente i dati da AWS Config questi o altri modi, utilizza una coda di Amazon Simple Queue Service come endpoint di notifica per Amazon SNS.
**Nota**
Le notifiche possono anche provenire da Amazon SNS sotto forma di e-mail, messaggio SMS (Short Message Service) verso cellulari e smartphone compatibili, messaggio di notifica verso un'applicazione su un dispositivo mobile o messaggio di notifica a uno o più endpoint HTTP o HTTPS.
Puoi avere una singola coda SQS per sottoscrivere più argomenti, indipendentemente dal fatto che tu abbia un argomento per ogni regione o un argomento per ogni account per ogni regione. Devi sottoscrivere la coda all'argomento SNS desiderato. (Puoi sottoscrivere molteplici code a un unico argomento SNS). Per ulteriori informazioni, consulta [Invio di messaggi Amazon SNS a code Amazon SQS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html).
## Autorizzazioni per Amazon SQS
Per utilizzare Amazon SQS con AWS Config, devi configurare una policy che conceda al tuo account le autorizzazioni per eseguire tutte le azioni consentite su una coda SQS. La policy di esempio seguente concede all'account numero 111122223333 e all'account numero 444455556666 l'autorizzazione all'invio di messaggi relativi a ogni modifica della configurazione verso la coda denominata arn:aws:sqs:us-east-2:444455556666:queue1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
Inoltre, è necessario creare una policy che conceda le autorizzazioni alle connessioni tra un argomento SNS e la coda SQS che si sottoscrive a tale argomento. Di seguito è riportato un esempio di policy che consente all'argomento SNS con Amazon Resource Name (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic di eseguire qualsiasi azione sulla coda denominata arn:aws:sqs:us-east- 2:111122223333:. test-topic-queue
**Nota**
Gli account dell'argomento SNS e della coda SQS devono appartenere alla stessa regione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
Ogni policy può includere istruzioni che riguardano solo una singola coda, non più code. Per informazioni su altre restrizioni sulle policy di Amazon SQS, consulta [Informazioni specifiche alle policy Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html).
# Monitoraggio AWS Config con Amazon EventBridge
Amazon EventBridge offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle AWS risorse. Usa Amazon EventBridge per rilevare e reagire ai cambiamenti nello stato degli AWS Config eventi.
È possibile scegliere di creare una regola che venga eseguita ogni volta che si verifica una transizione di stato o quando si verifica una transizione verso uno o più stati di interesse. Quindi, in base alle regole che EventBridge crei, Amazon richiama una o più azioni mirate quando un evento corrisponde ai valori specificati in una regola. A seconda del tipo di evento, potresti voler inviare notifiche, acquisire informazioni sull'evento, intraprendere un'azione correttiva, avviare eventi o eseguire altre operazioni.
Prima di creare regole per gli eventi AWS Config, tuttavia, devi fare quanto segue:
+ Acquisisci familiarità con eventi, regole e obiettivi in. EventBridge Per ulteriori informazioni, consulta [What Is Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ Per ulteriori informazioni su come iniziare EventBridge e configurare le regole, consulta [Getting started with Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html).
+ Crea la destinazione o le destinazioni da utilizzare nelle regole degli eventi.
**Topics**
+ [Considerazioni](#monitor-config-with-cloudwatchevents-considerations)
+ [EventBridge Formato Amazon per AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [Creazione di Amazon EventBridge Rule per AWS Config](#create-cloudwatch-events-rule-for-awsconfig)
## Considerazioni
Non riceverai avvisi EventBridge per i seguenti tipi di risorse se non li registri con AWS Config:
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## EventBridge Formato Amazon per AWS Config
L' EventBridge [evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) per AWS Config ha il seguente formato:
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## Creazione di Amazon EventBridge Rule per AWS Config
Utilizza i seguenti passaggi per creare una EventBridge regola che si attiva in base a un evento emesso da. AWS Config Gli eventi vengono emessi secondo il principio del massimo sforzo.
1. Nel pannello di navigazione, scegli **Regole**.
1. Scegli **Crea regola**.
1. Inserisci un nome e una descrizione per la regola.
Una regola non può avere lo stesso nome di un'altra regola nella stessa Regione e sullo stesso router di eventi.
**Nota**
Un bus di eventi riceve eventi da una fonte, utilizza regole per valutarli, applica qualsiasi trasformazione di input configurata e li indirizza verso le destinazioni appropriate. Il bus eventi predefinito del tuo account riceve eventi da Servizi AWS. Un bus di eventi personalizzato può ricevere eventi dalle tue applicazioni e dai tuoi servizi personalizzati. Un bus eventi partner riceve eventi da una fonte di eventi creata da un partner SaaS. Questi eventi provengono dai servizi o dalle applicazioni del partner. Per ulteriori informazioni, consulta [Event bus in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) nella *Amazon EventBridge User Guide*.
1. Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
1. Per **Event source**, scegli **AWS eventi o eventi per i EventBridge partner**.
1. (Opzionale) In **Tipo evento di esempio**, seleziona **Eventi AWS **.
1. (Opzionale) In **Eventi di esempio**, seleziona il tipo di evento che deve attivare la regola:
+ Scegli **AWS API Call tra CloudTrail** per basare le regole sulle chiamate API effettuate a questo servizio. Per ulteriori informazioni sulla creazione di questo tipo di regola, consulta [Tutorial: Crea una EventBridge regola Amazon per le chiamate AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Scegli **Config Configuration Item Change (Modifica all'elemento della configurazione di Config)** per ricevere una notifica quando una risorsa nel tuo account subisce modifiche.
Come descritto in questi articoli di supporto, puoi utilizzare EventBridge per ricevere notifiche e-mail personalizzate quando una risorsa viene creata o eliminata. [Come posso ricevere notifiche e-mail personalizzate quando una risorsa viene creata nel mio AWS Config servizio di Account AWS utilizzo?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) e [come posso ricevere notifiche e-mail personalizzate quando una risorsa viene eliminata nel mio AWS Config servizio di Account AWS utilizzo?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Scegli **Config Rules Compliance Change (Modifica alla conformità delle regole di Config)** per ricevere una notifica quando un controllo di conformità delle regole ha esito negativo.
Come descritto in questo articolo di supporto, è possibile utilizzare EventBridge per ricevere notifiche e-mail personalizzate quando una risorsa non è conforme. [Come posso ricevere una notifica quando una AWS risorsa non è](https://repost.aws/knowledge-center/config-resource-non-compliant) conforme utilizzando? AWS Config.
+ Scegli **Config Rules Re-evaluation Status (Stato rivalutazione delle regole di Config)** per ricevere una notifica sullo stato della rivalutazione.
+ Scegli **Config Configuration Snapshot Delivery Status (Stato distribuzione snapshot di configurazione di Config)** per ricevere una notifica sullo stato di distribuzione degli snapshot di configurazione.
+ Scegli **Config Configuration Snapshot Delivery Status (Stato distribuzione cronologia di configurazione di Config)** per ricevere una notifica sullo stato di distribuzione della cronologia di configurazione.
1. In **Metodo di creazione** scegli **Utilizza modulo del modello**.
1. Per **Origine evento**, scegli **Servizi AWS **.
1. In **Servizio AWS **, scegli **Config**.
1. In **Tipo di evento**, seleziona il tipo di evento che deve attivare la regola:
+ Scegli **Tutti gli eventi** per creare una regola valida per tutti i AWS servizi. Se scegli questa opzione, non puoi scegliere tipi di messaggi, nomi di regole, tipi di risorse o risorse specifici IDs.
+ Scegli **AWS API Call tra CloudTrail** per basare le regole sulle chiamate API effettuate a questo servizio. Per ulteriori informazioni sulla creazione di questo tipo di regola, consulta [Tutorial: Crea una EventBridge regola Amazon per le chiamate AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Scegli **Config Configuration Item Change (Modifica all'elemento della configurazione di Config)** per ricevere una notifica quando una risorsa nel tuo account subisce modifiche.
Come descritto in questi articoli di supporto, puoi utilizzare EventBridge per ricevere notifiche e-mail personalizzate quando una risorsa viene creata o eliminata. [Come posso ricevere notifiche e-mail personalizzate quando una risorsa viene creata nel mio AWS Config servizio di Account AWS utilizzo?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) e [come posso ricevere notifiche e-mail personalizzate quando una risorsa viene eliminata nel mio AWS Config servizio di Account AWS utilizzo?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Scegli **Config Rules Compliance Change (Modifica alla conformità delle regole di Config)** per ricevere una notifica quando un controllo di conformità delle regole ha esito negativo.
Come descritto in questo articolo di supporto, è possibile utilizzare EventBridge per ricevere notifiche e-mail personalizzate quando una risorsa non è conforme. [Come posso ricevere una notifica quando una AWS risorsa non è](https://repost.aws/knowledge-center/config-resource-non-compliant) conforme utilizzando? AWS Config.
+ Scegli **Config Rules Re-evaluation Status (Stato rivalutazione delle regole di Config)** per ricevere una notifica sullo stato della rivalutazione.
+ Scegli **Config Configuration Snapshot Delivery Status (Stato distribuzione snapshot di configurazione di Config)** per ricevere una notifica sullo stato di distribuzione degli snapshot di configurazione.
+ Scegli **Config Configuration Snapshot Delivery Status (Stato distribuzione cronologia di configurazione di Config)** per ricevere una notifica sullo stato di distribuzione della cronologia di configurazione.
1. Scegli **Any message type (Qualsiasi tipo di messaggio)** per ricevere notifiche di qualsiasi tipo. Scegli **Specific message type(s) (Tipo/i di messaggio specifico/i)** per ricevere i seguenti tipi di notifiche:
+ Se lo scegli **ConfigurationItemChangeNotification**, ricevi messaggi quando la configurazione di una risorsa che AWS Config valuta è cambiata.
+ Se lo scegli **ComplianceChangeNotification**, ricevi messaggi quando il tipo di conformità di una risorsa che AWS Config valuta è cambiato.
+ Se si sceglie questa opzione **ConfigRulesEvaluationStarted**, si ricevono messaggi quando si AWS Config inizia a valutare la regola rispetto alle risorse specificate.
+ Se lo desideri **ConfigurationSnapshotDeliveryCompleted**, riceverai messaggi quando consegnerai AWS Config correttamente lo snapshot di configurazione al tuo bucket Amazon S3.
+ Se lo desideri **ConfigurationSnapshotDeliveryFailed**, ricevi messaggi quando AWS Config non riesci a consegnare lo snapshot di configurazione al tuo bucket Amazon S3.
+ Se lo desideri **ConfigurationSnapshotDeliveryStarted**, riceverai messaggi quando AWS Config inizia a distribuire lo snapshot di configurazione al tuo bucket Amazon S3.
+ Se lo desideri **ConfigurationHistoryDeliveryCompleted**, riceverai messaggi quando invii AWS Config correttamente la cronologia di configurazione al tuo bucket Amazon S3.
1. Se hai scelto un tipo di evento specifico dall'elenco a discesa **Tipo di evento**, scegli **Qualsiasi tipo di risorsa per creare una regola che si applichi a tutti i tipi** di risorse AWS Config supportati.
Oppure scegli **Specific resource type(s) (Tipo/i specifico/i di risorse)**, quindi digita il tipo di risorsa di AWS Config supportato (ad esempio `AWS::EC2::Instance`).
1. Se scegli uno specifico tipo di evento dall'elenco a discesa **Tipo di evento**, scegli **Qualsiasi ID di risorsa** per includere tutti gli ID di risorsa AWS Config supportati.
Oppure scegli **Specific resource ID(s) (ID specifico/i di risorse)**, quindi digita l'ID della risorsa di AWS Config supportata (ad esempio `i-04606de676e635647`).
1. Se scegli uno specifico tipo di evento dall'elenco a discesa **Tipo di evento**, scegli **Qualsiasi nome di regola** per includere tutti le regole AWS Config supportate.
Oppure scegli **Specific resource type(s) (Tipo/i specifico/i di risorse)**, quindi digita la regola di AWS Config supportata (ad esempio **required-tags**).
1. In **Seleziona destinazioni**, scegli il tipo di destinazione da utilizzare con questa regola, quindi configura le eventuali altre opzioni richieste da questo tipo specifico.
1. I campi visualizzati variano a seconda del servizio scelto. Se necessario, inserisci le informazioni specifiche per questo tipo di destinazione.
1. Per molti tipi di oggetto, EventBridge sono necessarie le autorizzazioni per inviare eventi alla destinazione. In questi casi, EventBridge può creare il ruolo IAM necessario per l'esecuzione della regola.
+ Per creare un ruolo IAM automaticamente, seleziona **Crea un nuovo ruolo per questa risorsa specifica**.
+ Per utilizzare un ruolo IAM creato in precedenza, seleziona **Use existing role (Utilizza un ruolo esistente)**.
1. (Facoltativo) Scegliere **Add target (Aggiungi target)** per aggiungere un altro target per questa regola.
1. (Facoltativo) Inserire uno o più tag per la regola. Per ulteriori informazioni, consulta [Amazon EventBridge tags](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html).
1. Verifica la configurazione delle regole per accertarti che soddisfi i tuoi requisiti di monitoraggio di eventi.
1. Scegli **Crea** per confermare la scelta.