As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitoramento
Você pode usar outros AWS serviços para monitorar AWS Config recursos.
+ Você pode usar o Amazon Simple Notification Service (SNS) para enviar notificações sempre que um AWS recurso compatível for criado, atualizado ou modificado como resultado da atividade da API do usuário.
+ Você pode usar EventBridge a Amazon para detectar e reagir às mudanças no status dos AWS Config eventos.
**Topics**
+ [Como usar o Amazon SQS](monitor-resource-changes.md)
+ [Usando a Amazon EventBridge](monitor-config-with-cloudwatchevents.md)
# Monitorando mudanças AWS de recursos com o Amazon SQS
AWS Config usa o Amazon Simple Notification Service (SNS) para enviar notificações sempre que um AWS recurso compatível é criado, atualizado ou modificado como resultado da atividade da API do usuário. No entanto, você pode estar interessado em apenas algumas alterações de configuração de recurso. Por exemplo, você pode considerar essencial saber quando alguém modifica a configuração de um grupo de segurança, mas não precisa monitorar sempre que há uma alteração nas tags em suas instâncias do Amazon EC2. Ou, você pode fazer um programa que realiza ações específicas quando recursos específicos são atualizados. Por exemplo, você pode querer iniciar um determinado fluxo de trabalho quando uma configuração de um grupo de segurança é alterada. Se você quiser consumir programaticamente os dados dessas ou de AWS Config outras formas, use uma fila do Amazon Simple Queue Service como ponto final de notificação para o Amazon SNS.
**nota**
As notificações também podem vir do SNS na forma de e-mail, mensagem SMS (Short Message Service) para celulares e smartphones habitados para o serviço SMS, mensagem de notificação para um aplicativo em um dispositivo móvel ou mensagem de notificação para um ou mais endpoints HTTP ou HTTPS.
Uma única fila SQS pode se inscrever para vários tópicos, seja você tendo um tópico para cada região ou um tópico para cada conta e para cada região. Você deve se inscrever na fila do tópico SNS desejado. (Você pode se inscrever em várias filas para um tópico SNS.) Para obter mais informações, consulte [Enviar mensagens do Amazon SNS para filas do Amazon SQS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html).
## Permissões para o Amazon SQS
Para usar o Amazon SQS com AWS Config, você deve configurar uma política que conceda permissões à sua conta para realizar todas as ações permitidas em uma fila do SQS. O exemplo de política a seguir concede permissão aos números de conta 111122223333 e 444455556666 para enviar mensagens pertencentes a cada alteração de configuração para a fila denominada arn:aws:sqs:us-east-2:444455556666:queue1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
Você também deve criar uma política que conceda permissões para conexões entre um tópico SNS e a fila SQS que se inscreve para aquele tópico. Veja a seguir um exemplo de política que permite que o tópico do SNS com o Amazon Resource Name (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic execute qualquer ação na fila chamada arn:aws:sqs:us-east- 2:111122223333:. test-topic-queue
**nota**
A conta para o tópico SNS e a fila SQS devem estar na mesma região.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
Cada política pode incluir instruções que abrangem apenas uma única fila, não várias filas. Para informações sobre outras restrições nas políticas do SQS, consulte [Informações especiais para políticas do Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html).
# Monitoramento AWS Config com a Amazon EventBridge
A Amazon EventBridge fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos. Use EventBridge a Amazon para detectar e reagir às mudanças no status dos AWS Config eventos.
Você pode criar uma regra que será executada sempre que houver uma transição de estado ou quando houver uma transição para um ou mais estados que sejam de interesse. Então, com base nas regras que você cria, a Amazon EventBridge invoca uma ou mais ações-alvo quando um evento corresponde aos valores que você especifica em uma regra. A depender do tipo de evento, convém enviar notificações, capturar informações, tomar medidas corretivas, iniciar eventos ou tomar outras ações.
Antes de criar regras de eventos para AWS Config, no entanto, você deve fazer o seguinte:
+ Familiarize-se com eventos, regras e metas em EventBridge. Para obter mais informações, consulte [O que é a Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ Para obter mais informações sobre como começar EventBridge e configurar regras, consulte [Introdução à Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html).
+ Criar um ou mais destinos que você usará nas suas regras de evento.
**Topics**
+ [Considerações](#monitor-config-with-cloudwatchevents-considerations)
+ [EventBridge Formato Amazon para AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [Criação de EventBridge regras da Amazon para AWS Config](#create-cloudwatch-events-rule-for-awsconfig)
## Considerações
Você não receberá alertas EventBridge para os seguintes tipos de recursos se não os estiver gravando com AWS Config:
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## EventBridge Formato Amazon para AWS Config
O EventBridge [evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) para AWS Config tem o seguinte formato:
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## Criação de EventBridge regras da Amazon para AWS Config
Use as etapas a seguir para criar uma EventBridge regra que é acionada em um evento emitido por. AWS Config Os eventos são emitidos com base no melhor esforço.
1. No painel de navegação, escolha **Regras**.
1. Escolha **Create rule**.
1. Insira um nome e uma descrição para a regra.
Uma regra não pode ter o mesmo nome que outra na mesma Região e barramento de eventos.
**nota**
Um barramento de eventos recebe eventos de uma origem, usa regras para avaliá-los, aplica qualquer transformação de entrada configurada e os encaminha para a um ou mais destinos apropriados. O barramento de eventos padrão de sua conta que recebe eventos de Serviços da AWS. Um barramento de eventos personalizado pode receber eventos de aplicações e serviços personalizados. Um barramento de eventos de parceiro recebe eventos de uma origem de eventos criada por um parceiro de SaaS. Esses eventos provêm de serviços ou aplicações de parceiros. Para obter mais informações, consulte [Ônibus de eventos na Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) no *Guia EventBridge do usuário da Amazon*.
1. Para **Tipo de regra**, escolha **Regra com padrão de evento**.
1. Em **Origem do evento**, escolha **AWS eventos ou eventos de EventBridge parceiros**.
1. (Opcional) Para **Exemplo de tipo evento**, selecione **Eventos da AWS **.
1. (Opcional) Para **Exemplo de eventos**, escolha o tipo de evento que aciona a regra:
+ Escolha **Chamada de AWS API CloudTrail** para basear as regras nas chamadas de API feitas para esse serviço. Para obter mais informações sobre a criação desse tipo de regra, consulte [Tutorial: Criar uma EventBridge regra da Amazon para chamadas de AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Escolha **Config Configuration Item Change (Alteração de itens de configuração do Config)** para receber notificações quando um recurso na sua conta for alterado.
Conforme descrito nesses artigos de suporte, você pode usar EventBridge para receber notificações personalizadas por e-mail quando um recurso é criado ou excluído. [Como posso receber notificações personalizadas por e-mail quando um recurso é criado no meu AWS Config serviço de Conta da AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) e [Como posso receber notificações personalizadas por e-mail quando um recurso é excluído do meu AWS Config serviço de Conta da AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Escolha **Config Rules Compliance Change (Alteração da compatibilidade das regras do Config)** para receber notificações quando uma verificação de conformidade para suas regras apresentar falha.
Conforme descrito neste artigo de suporte, você pode usar EventBridge para receber notificações personalizadas por e-mail quando um recurso não está em conformidade. [Como posso ser notificado quando um AWS recurso não está](https://repost.aws/knowledge-center/config-resource-non-compliant) em conformidade usando? AWS Config.
+ Escolha **Status de reavaliação das regras do Config** para obter as notificações de status de reavaliação.
+ Escolha **Status de entrega de instantâneos da configuração do Config** para obter notificações de status de entrega de instantâneo de configuração.
+ Escolha **Status de entrega do histórico da configuração do Config** para obter notificações de status de entrega de histórico de configuração.
1. Em **Método de criação**, escolha **Usar formulário de padrão**.
1. Em **Fonte do evento**, selecione **Serviços da AWS **.
1. Em **Serviço da AWS **, escolha **Config**.
1. Em **Tipo de evento**, escolha o tipo de evento que aciona a regra:
+ Escolha **Todos os eventos** para criar uma regra que se aplique a todos os AWS serviços. Se você escolher essa opção, não poderá escolher tipos específicos de mensagens, nomes de regras, tipos de recursos ou recursos IDs.
+ Escolha **Chamada de AWS API CloudTrail** para basear as regras nas chamadas de API feitas para esse serviço. Para obter mais informações sobre a criação desse tipo de regra, consulte [Tutorial: Criar uma EventBridge regra da Amazon para chamadas de AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Escolha **Config Configuration Item Change (Alteração de itens de configuração do Config)** para receber notificações quando um recurso na sua conta for alterado.
Conforme descrito nesses artigos de suporte, você pode usar EventBridge para receber notificações personalizadas por e-mail quando um recurso é criado ou excluído. [Como posso receber notificações personalizadas por e-mail quando um recurso é criado no meu AWS Config serviço de Conta da AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) e [Como posso receber notificações personalizadas por e-mail quando um recurso é excluído do meu AWS Config serviço de Conta da AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Escolha **Config Rules Compliance Change (Alteração da compatibilidade das regras do Config)** para receber notificações quando uma verificação de conformidade para suas regras apresentar falha.
Conforme descrito neste artigo de suporte, você pode usar EventBridge para receber notificações personalizadas por e-mail quando um recurso não está em conformidade. [Como posso ser notificado quando um AWS recurso não está](https://repost.aws/knowledge-center/config-resource-non-compliant) em conformidade usando? AWS Config.
+ Escolha **Status de reavaliação das regras do Config** para obter as notificações de status de reavaliação.
+ Escolha **Status de entrega de instantâneos da configuração do Config** para obter notificações de status de entrega de instantâneo de configuração.
+ Escolha **Status de entrega do histórico da configuração do Config** para obter notificações de status de entrega de histórico de configuração.
1. Escolha **Any message type (Qualquer tipo de mensagem)** para receber notificações de qualquer tipo. Escolha **Specific message type(s) (Tipos de mensagem específica)** para receber os seguintes tipos de notificações:
+ Se você escolher **ConfigurationItemChangeNotification**, receberá mensagens quando a configuração de um recurso que AWS Config avalia for alterada.
+ Se você escolher **ComplianceChangeNotification**, receberá mensagens quando o tipo de conformidade de um recurso que AWS Config avalia for alterado.
+ Se você escolher **ConfigRulesEvaluationStarted**, receberá mensagens quando AWS Config começar a avaliar sua regra em relação aos recursos especificados.
+ Se você escolher **ConfigurationSnapshotDeliveryCompleted**, receberá mensagens quando entregar AWS Config com sucesso o snapshot de configuração para seu bucket do Amazon S3.
+ Se você escolher **ConfigurationSnapshotDeliveryFailed**, receberá mensagens quando AWS Config não conseguir entregar o snapshot de configuração ao seu bucket do Amazon S3.
+ Se você escolher **ConfigurationSnapshotDeliveryStarted**, receberá mensagens quando AWS Config começar a entregar o snapshot de configuração para seu bucket do Amazon S3.
+ Se você escolher **ConfigurationHistoryDeliveryCompleted**, você receberá mensagens quando entregar AWS Config com sucesso o histórico de configuração para seu bucket do Amazon S3.
1. Se você escolheu um tipo de evento específico na lista suspensa **Tipo de evento**, escolha **Qualquer tipo de recurso** para criar uma regra que se aplique a todos os tipos de recursos AWS Config compatíveis.
Se preferir, pode escolher **Specific resource type(s) (Tipos de recursos específicos)**. Em seguida, digite o tipo de recurso compatível com o AWS Config (por exemplo: `AWS::EC2::Instance`).
1. Se você escolheu um tipo de evento específico da lista suspensa **Tipo de evento**, escolha **Qualquer ID de recurso** para incluir algum ID de recurso compatível com o AWS Config .
Se preferir, pode escolher **Specific resource ID(s) (IDs de recursos específicos)**. Em seguida, digite o ID de recurso suportado pelo AWS Config (por exemplo: `i-04606de676e635647`).
1. Se você escolheu um tipo de evento específico da lista suspensa **Tipo de evento**, escolha **Qualquer nome de regra** para incluir alguma regra compatível com o AWS Config .
Ou, escolha **Specific rule name(s) (Nomes de regras específicas)** e digite a regra compatível com o AWS Config (por exemplo: **required-tags**).
1. Em **Selecionar destino(s)**, escolha o tipo de destino preparado para usar com essa regra e configure as opções adicionais necessárias a esse tipo.
1. Os campos exibidos variam de acordo com o serviço escolhido. Insira as informações específicas desse tipo de destino conforme necessário.
1. Para muitos tipos de alvo, EventBridge precisa de permissões para enviar eventos para o alvo. Nesses casos, EventBridge pode criar a função do IAM necessária para que sua regra seja executada.
+ Para criar um perfil do IAM automaticamente, escolha **Criar novo perfil para este recurso específico**.
+ Para usar uma função do IAM que você criou anteriormente, escolha **Use existing role** (Usar função existente)
1. (Opcional) Selecione **Add target (Adicionar destino)** para adicionar outro destino a essa regra.
1. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as [ EventBridge tags da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html).
1. Analise a configuração da regra para garantir que ela atenda aos requisitos de monitoramento de evento.
1. Escolha **Criar regra** para confirmar sua seleção.