As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Registro e monitoramento em AWS Config
AWS Config é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço em AWS Config. O monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho de AWS Config suas AWS soluções.
**Topics**
+ [Registro em log](log-api-calls.md)
+ [Monitoring](monitoring.md)
# Registrando chamadas de AWS Config API com AWS CloudTrail
CloudTrail captura todas as chamadas de API AWS Config como eventos. As chamadas capturadas incluem chamadas do AWS Config console e chamadas de código para as operações AWS Config da API. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para. AWS Config Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita AWS Config, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Config Informações em CloudTrail](#service-name-info-in-cloudtrail)
+ [Compreendendo as entradas do arquivo de AWS Config log](#understanding-awsconfig-entries)
+ [Exemplos de arquivos de registros](#cloudtrail-log-files-for-aws-config)
## AWS Config Informações em CloudTrail
CloudTrail é ativado no seu Conta da AWS quando você cria a conta. Quando a atividade ocorre em AWS Config, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes no seu Conta da AWS. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo dos eventos em sua Conta da AWS, incluindo eventos para AWS Config, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para saber mais, consulte:
+ [Visão Geral para Criar uma Trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas AWS Config as operações são registradas CloudTrail e documentadas na [Referência da AWS Config API](https://docs.aws.amazon.com/config/latest/APIReference/). Por exemplo, chamadas para as [DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)operações [DeliverConfigSnapshot[DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html), e geram entradas nos arquivos de CloudTrail log.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM).
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Compreendendo as entradas do arquivo de AWS Config log
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
## Exemplos de arquivos de registros
Para obter exemplos das entradas de CloudTrail registro, consulte os tópicos a seguir.
------
#### [ DeleteDeliveryChannel ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [DeleteDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteDeliveryChannel.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:32:57Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeleteDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-internal/3",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": null,
"requestID": "207d695a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "5dcff7a9-e414-411a-a43e-88d122a0ad4a",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DeliverConfigSnapshot ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:53Z",
"eventSource": "config.amazonaws.com",
"eventName": "DeliverConfigSnapshot",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannelName": "default"
},
"responseElements": {
"configSnapshotId": "58d50f10-212d-4fa4-842e-97c614da67ce"
},
"requestID": "e0248561-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "3e88076c-eae1-4aa6-8990-86fe52aedbd8",
"eventType": "AwsApiCall",
recipientAccountId": "111111111111"
}
```
------
#### [ DescribeConfigurationRecorderStatus ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [DescribeConfigurationRecorderStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorderStatus.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:44Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorderStatus",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "8442f25d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "a675b36b-455f-4e18-a4bc-d3e01749d3f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeConfigurationRecorders ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [DescribeConfigurationRecorders](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationRecorders.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:34:52Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeConfigurationRecorders",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6566b55c-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6259a9ad-889e-423b-beeb-6e1eec84a8b5",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ DescribeDeliveryChannels ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [DescribeDeliveryChannels](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeDeliveryChannels.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:02Z",
"eventSource": "config.amazonaws.com",
"eventName": "DescribeDeliveryChannels",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": null,
"responseElements": null,
"requestID": "6b6aee3f-8164-11e4-ab4f-657c7ab282ab",
"eventID": "3e15ebc5-bf39-4d2a-8b64-9392807985f1",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ GetResourceConfigHistory ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test",
"arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-12-11T00:58:42Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAABCDEFGHIJKLNMOPQ",
"arn": "arn:aws:iam::111111111111:role/JaneDoe",
"accountId": "111111111111",
"userName": "JaneDoe"
}
}
},
"eventTime": "2014-12-11T00:58:42Z",
"eventSource": "config.amazonaws.com",
"eventName": "GetResourceConfigHistory",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.24.34.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"resourceId": "vpc-a12bc345",
"resourceType": "AWS::EC2::VPC",
"limit": 0,
"laterTime": "Dec 11, 2014 12:58:42 AM",
"earlierTime": "Dec 10, 2014 4:58:42 PM"
},
"responseElements": null,
"requestID": "d9f3490d-80d0-11e4-9f1c-7739d36a3df2",
"eventID": "ba9c1766-d28f-40e3-b4c6-3ffb87dd6166",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
------
#### [ PutConfigurationRecorder ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [PutConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationRecorder.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:23Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorder": {
"name": "default",
"roleARN": "arn:aws:iam::222222222222:role/config-role-pdx"
}
},
"responseElements": null,
"requestID": "779f7917-8164-11e4-ab4f-657c7ab282ab",
"eventID": "c91f3daa-96e8-44ee-8ddd-146ac06565a7",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ PutDeliveryChannel ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [PutDeliveryChannel](https://docs.aws.amazon.com/config/latest/APIReference/API_PutDeliveryChannel.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:33:08Z",
"eventSource": "config.amazonaws.com",
"eventName": "PutDeliveryChannel",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"deliveryChannel": {
"name": "default",
"s3BucketName": "config-api-test-pdx",
"snsTopicARN": "arn:aws:sns:us-west-2:222222222222:config-api-test-pdx"
}
},
"responseElements": null,
"requestID": "268b8d4d-8164-11e4-ab4f-657c7ab282ab",
"eventID": "b2db05f1-1c73-4e52-b238-db69c04e8dd4",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StartConfigurationRecorder ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:34Z",
"eventSource": "config.amazonaws.com",
"eventName": "StartConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "7e03fa6a-8164-11e4-ab4f-657c7ab282ab",
"eventID": "55a5507f-f306-4896-afe3-196dc078a88d",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
#### [ StopConfigurationRecorder ]
Veja a seguir um exemplo de arquivo de CloudTrail log da [StopConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StopConfigurationRecorder.html)operação.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::222222222222:user/JohnDoe",
"accountId": "222222222222",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "JohnDoe"
},
"eventTime": "2014-12-11T18:35:13Z",
"eventSource": "config.amazonaws.com",
"eventName": "StopConfigurationRecorder",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",
"requestParameters": {
"configurationRecorderName": "default"
},
"responseElements": null,
"requestID": "716deea3-8164-11e4-ab4f-657c7ab282ab",
"eventID": "6225a85d-1e49-41e9-bf43-3cfc5549e560",
"eventType": "AwsApiCall",
"recipientAccountId": "222222222222"
}
```
------
# Monitoramento
Você pode usar outros AWS serviços para monitorar AWS Config recursos.
+ Você pode usar o Amazon Simple Notification Service (SNS) para enviar notificações sempre que um AWS recurso compatível for criado, atualizado ou modificado como resultado da atividade da API do usuário.
+ Você pode usar EventBridge a Amazon para detectar e reagir às mudanças no status dos AWS Config eventos.
**Topics**
+ [Como usar o Amazon SQS](monitor-resource-changes.md)
+ [Usando a Amazon EventBridge](monitor-config-with-cloudwatchevents.md)
# Monitorando mudanças AWS de recursos com o Amazon SQS
AWS Config usa o Amazon Simple Notification Service (SNS) para enviar notificações sempre que um AWS recurso compatível é criado, atualizado ou modificado como resultado da atividade da API do usuário. No entanto, você pode estar interessado em apenas algumas alterações de configuração de recurso. Por exemplo, você pode considerar essencial saber quando alguém modifica a configuração de um grupo de segurança, mas não precisa monitorar sempre que há uma alteração nas tags em suas instâncias do Amazon EC2. Ou, você pode fazer um programa que realiza ações específicas quando recursos específicos são atualizados. Por exemplo, você pode querer iniciar um determinado fluxo de trabalho quando uma configuração de um grupo de segurança é alterada. Se você quiser consumir programaticamente os dados dessas ou de AWS Config outras formas, use uma fila do Amazon Simple Queue Service como ponto final de notificação para o Amazon SNS.
**nota**
As notificações também podem vir do SNS na forma de e-mail, mensagem SMS (Short Message Service) para celulares e smartphones habitados para o serviço SMS, mensagem de notificação para um aplicativo em um dispositivo móvel ou mensagem de notificação para um ou mais endpoints HTTP ou HTTPS.
Uma única fila SQS pode se inscrever para vários tópicos, seja você tendo um tópico para cada região ou um tópico para cada conta e para cada região. Você deve se inscrever na fila do tópico SNS desejado. (Você pode se inscrever em várias filas para um tópico SNS.) Para obter mais informações, consulte [Enviar mensagens do Amazon SNS para filas do Amazon SQS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html).
## Permissões para o Amazon SQS
Para usar o Amazon SQS com AWS Config, você deve configurar uma política que conceda permissões à sua conta para realizar todas as ações permitidas em uma fila do SQS. O exemplo de política a seguir concede permissão aos números de conta 111122223333 e 444455556666 para enviar mensagens pertencentes a cada alteração de configuração para a fila denominada arn:aws:sqs:us-east-2:444455556666:queue1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
Você também deve criar uma política que conceda permissões para conexões entre um tópico SNS e a fila SQS que se inscreve para aquele tópico. Veja a seguir um exemplo de política que permite que o tópico do SNS com o Amazon Resource Name (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic execute qualquer ação na fila chamada arn:aws:sqs:us-east- 2:111122223333:. test-topic-queue
**nota**
A conta para o tópico SNS e a fila SQS devem estar na mesma região.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
Cada política pode incluir instruções que abrangem apenas uma única fila, não várias filas. Para informações sobre outras restrições nas políticas do SQS, consulte [Informações especiais para políticas do Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html).
# Monitoramento AWS Config com a Amazon EventBridge
A Amazon EventBridge fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos. Use EventBridge a Amazon para detectar e reagir às mudanças no status dos AWS Config eventos.
Você pode criar uma regra que será executada sempre que houver uma transição de estado ou quando houver uma transição para um ou mais estados que sejam de interesse. Então, com base nas regras que você cria, a Amazon EventBridge invoca uma ou mais ações-alvo quando um evento corresponde aos valores que você especifica em uma regra. A depender do tipo de evento, convém enviar notificações, capturar informações, tomar medidas corretivas, iniciar eventos ou tomar outras ações.
Antes de criar regras de eventos para AWS Config, no entanto, você deve fazer o seguinte:
+ Familiarize-se com eventos, regras e metas em EventBridge. Para obter mais informações, consulte [O que é a Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ Para obter mais informações sobre como começar EventBridge e configurar regras, consulte [Introdução à Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html).
+ Criar um ou mais destinos que você usará nas suas regras de evento.
**Topics**
+ [Considerações](#monitor-config-with-cloudwatchevents-considerations)
+ [EventBridge Formato Amazon para AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [Criação de EventBridge regras da Amazon para AWS Config](#create-cloudwatch-events-rule-for-awsconfig)
## Considerações
Você não receberá alertas EventBridge para os seguintes tipos de recursos se não os estiver gravando com AWS Config:
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## EventBridge Formato Amazon para AWS Config
O EventBridge [evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) para AWS Config tem o seguinte formato:
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## Criação de EventBridge regras da Amazon para AWS Config
Use as etapas a seguir para criar uma EventBridge regra que é acionada em um evento emitido por. AWS Config Os eventos são emitidos com base no melhor esforço.
1. No painel de navegação, escolha **Regras**.
1. Escolha **Create rule**.
1. Insira um nome e uma descrição para a regra.
Uma regra não pode ter o mesmo nome que outra na mesma Região e barramento de eventos.
**nota**
Um barramento de eventos recebe eventos de uma origem, usa regras para avaliá-los, aplica qualquer transformação de entrada configurada e os encaminha para a um ou mais destinos apropriados. O barramento de eventos padrão de sua conta que recebe eventos de Serviços da AWS. Um barramento de eventos personalizado pode receber eventos de aplicações e serviços personalizados. Um barramento de eventos de parceiro recebe eventos de uma origem de eventos criada por um parceiro de SaaS. Esses eventos provêm de serviços ou aplicações de parceiros. Para obter mais informações, consulte [Ônibus de eventos na Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) no *Guia EventBridge do usuário da Amazon*.
1. Para **Tipo de regra**, escolha **Regra com padrão de evento**.
1. Em **Origem do evento**, escolha **AWS eventos ou eventos de EventBridge parceiros**.
1. (Opcional) Para **Exemplo de tipo evento**, selecione **Eventos da AWS **.
1. (Opcional) Para **Exemplo de eventos**, escolha o tipo de evento que aciona a regra:
+ Escolha **Chamada de AWS API CloudTrail** para basear as regras nas chamadas de API feitas para esse serviço. Para obter mais informações sobre a criação desse tipo de regra, consulte [Tutorial: Criar uma EventBridge regra da Amazon para chamadas de AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Escolha **Config Configuration Item Change (Alteração de itens de configuração do Config)** para receber notificações quando um recurso na sua conta for alterado.
Conforme descrito nesses artigos de suporte, você pode usar EventBridge para receber notificações personalizadas por e-mail quando um recurso é criado ou excluído. [Como posso receber notificações personalizadas por e-mail quando um recurso é criado no meu AWS Config serviço de Conta da AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) e [Como posso receber notificações personalizadas por e-mail quando um recurso é excluído do meu AWS Config serviço de Conta da AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Escolha **Config Rules Compliance Change (Alteração da compatibilidade das regras do Config)** para receber notificações quando uma verificação de conformidade para suas regras apresentar falha.
Conforme descrito neste artigo de suporte, você pode usar EventBridge para receber notificações personalizadas por e-mail quando um recurso não está em conformidade. [Como posso ser notificado quando um AWS recurso não está](https://repost.aws/knowledge-center/config-resource-non-compliant) em conformidade usando? AWS Config.
+ Escolha **Status de reavaliação das regras do Config** para obter as notificações de status de reavaliação.
+ Escolha **Status de entrega de instantâneos da configuração do Config** para obter notificações de status de entrega de instantâneo de configuração.
+ Escolha **Status de entrega do histórico da configuração do Config** para obter notificações de status de entrega de histórico de configuração.
1. Em **Método de criação**, escolha **Usar formulário de padrão**.
1. Em **Fonte do evento**, selecione **Serviços da AWS **.
1. Em **Serviço da AWS **, escolha **Config**.
1. Em **Tipo de evento**, escolha o tipo de evento que aciona a regra:
+ Escolha **Todos os eventos** para criar uma regra que se aplique a todos os AWS serviços. Se você escolher essa opção, não poderá escolher tipos específicos de mensagens, nomes de regras, tipos de recursos ou recursos IDs.
+ Escolha **Chamada de AWS API CloudTrail** para basear as regras nas chamadas de API feitas para esse serviço. Para obter mais informações sobre a criação desse tipo de regra, consulte [Tutorial: Criar uma EventBridge regra da Amazon para chamadas de AWS CloudTrail API](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html).
+ Escolha **Config Configuration Item Change (Alteração de itens de configuração do Config)** para receber notificações quando um recurso na sua conta for alterado.
Conforme descrito nesses artigos de suporte, você pode usar EventBridge para receber notificações personalizadas por e-mail quando um recurso é criado ou excluído. [Como posso receber notificações personalizadas por e-mail quando um recurso é criado no meu AWS Config serviço de Conta da AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) e [Como posso receber notificações personalizadas por e-mail quando um recurso é excluído do meu AWS Config serviço de Conta da AWS uso?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/) .
+ Escolha **Config Rules Compliance Change (Alteração da compatibilidade das regras do Config)** para receber notificações quando uma verificação de conformidade para suas regras apresentar falha.
Conforme descrito neste artigo de suporte, você pode usar EventBridge para receber notificações personalizadas por e-mail quando um recurso não está em conformidade. [Como posso ser notificado quando um AWS recurso não está](https://repost.aws/knowledge-center/config-resource-non-compliant) em conformidade usando? AWS Config.
+ Escolha **Status de reavaliação das regras do Config** para obter as notificações de status de reavaliação.
+ Escolha **Status de entrega de instantâneos da configuração do Config** para obter notificações de status de entrega de instantâneo de configuração.
+ Escolha **Status de entrega do histórico da configuração do Config** para obter notificações de status de entrega de histórico de configuração.
1. Escolha **Any message type (Qualquer tipo de mensagem)** para receber notificações de qualquer tipo. Escolha **Specific message type(s) (Tipos de mensagem específica)** para receber os seguintes tipos de notificações:
+ Se você escolher **ConfigurationItemChangeNotification**, receberá mensagens quando a configuração de um recurso que AWS Config avalia for alterada.
+ Se você escolher **ComplianceChangeNotification**, receberá mensagens quando o tipo de conformidade de um recurso que AWS Config avalia for alterado.
+ Se você escolher **ConfigRulesEvaluationStarted**, receberá mensagens quando AWS Config começar a avaliar sua regra em relação aos recursos especificados.
+ Se você escolher **ConfigurationSnapshotDeliveryCompleted**, receberá mensagens quando entregar AWS Config com sucesso o snapshot de configuração para seu bucket do Amazon S3.
+ Se você escolher **ConfigurationSnapshotDeliveryFailed**, receberá mensagens quando AWS Config não conseguir entregar o snapshot de configuração ao seu bucket do Amazon S3.
+ Se você escolher **ConfigurationSnapshotDeliveryStarted**, receberá mensagens quando AWS Config começar a entregar o snapshot de configuração para seu bucket do Amazon S3.
+ Se você escolher **ConfigurationHistoryDeliveryCompleted**, você receberá mensagens quando entregar AWS Config com sucesso o histórico de configuração para seu bucket do Amazon S3.
1. Se você escolheu um tipo de evento específico na lista suspensa **Tipo de evento**, escolha **Qualquer tipo de recurso** para criar uma regra que se aplique a todos os tipos de recursos AWS Config compatíveis.
Se preferir, pode escolher **Specific resource type(s) (Tipos de recursos específicos)**. Em seguida, digite o tipo de recurso compatível com o AWS Config (por exemplo: `AWS::EC2::Instance`).
1. Se você escolheu um tipo de evento específico da lista suspensa **Tipo de evento**, escolha **Qualquer ID de recurso** para incluir algum ID de recurso compatível com o AWS Config .
Se preferir, pode escolher **Specific resource ID(s) (IDs de recursos específicos)**. Em seguida, digite o ID de recurso suportado pelo AWS Config (por exemplo: `i-04606de676e635647`).
1. Se você escolheu um tipo de evento específico da lista suspensa **Tipo de evento**, escolha **Qualquer nome de regra** para incluir alguma regra compatível com o AWS Config .
Ou, escolha **Specific rule name(s) (Nomes de regras específicas)** e digite a regra compatível com o AWS Config (por exemplo: **required-tags**).
1. Em **Selecionar destino(s)**, escolha o tipo de destino preparado para usar com essa regra e configure as opções adicionais necessárias a esse tipo.
1. Os campos exibidos variam de acordo com o serviço escolhido. Insira as informações específicas desse tipo de destino conforme necessário.
1. Para muitos tipos de alvo, EventBridge precisa de permissões para enviar eventos para o alvo. Nesses casos, EventBridge pode criar a função do IAM necessária para que sua regra seja executada.
+ Para criar um perfil do IAM automaticamente, escolha **Criar novo perfil para este recurso específico**.
+ Para usar uma função do IAM que você criou anteriormente, escolha **Use existing role** (Usar função existente)
1. (Opcional) Selecione **Add target (Adicionar destino)** para adicionar outro destino a essa regra.
1. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as [ EventBridge tags da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html).
1. Analise a configuração da regra para garantir que ela atenda aos requisitos de monitoramento de evento.
1. Escolha **Criar regra** para confirmar sua seleção.