

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Config 使用 Amazon EventBridge 監控
<a name="monitor-config-with-cloudwatchevents"></a>

Amazon EventBridge 可傳送近乎即時的系統事件串流，以說明 AWS 資源發生的變動。使用 Amazon EventBridge 偵測和回應 AWS Config 事件狀態的變更。

您可以建立規則，在有狀態轉換或有轉移到一或多個與您相關的狀態時執行。然後，根據您建立的規則，Amazon EventBridge 會在事件符合您在規則中指定的值時，調用一或多個目標動作。根據事件的類型，您可能會想要傳送通知、擷取事件資訊，採取修正動作、啟動事件，或採取其他動作。

不過 AWS Config，在建立 的事件規則之前，您應該執行下列動作：
+ 熟悉 Eventbridge 中的事件、規則和目標。如需詳細資訊，請參閱[什麼是 Amazon EventBridge？](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ 如需如何開始使用 EventBridge 及設定規則的詳細資訊，請參閱《[Amazon EventBridge 入門](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html)》。
+ 建立您將在事件規則中使用的一或多個目標。

**Topics**
+ [考量事項](#monitor-config-with-cloudwatchevents-considerations)
+ [的 Amazon EventBridge 格式 AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [建立 的 Amazon EventBridge 規則 AWS Config](#create-cloudwatch-events-rule-for-awsconfig)

## 考量事項
<a name="monitor-config-with-cloudwatchevents-considerations"></a>

如果您不使用 記錄下列資源類型，則不會透過 EventBridge 收到提醒 AWS Config：
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`

## 的 Amazon EventBridge 格式 AWS Config
<a name="cloudwatch-event-format-for-awsconfig"></a>

的 EventBridge [事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) AWS Config 具有下列格式：

```
          {
             "version": "0",
             "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
             "detail-type": "{{event type}}",
             "source": "aws.config",
             "account": "111122223333",
             "time": "2018-03-22T00:38:11Z",
             "region": "us-east-1",
             "resources": [
                {{resources}}
             ],
             "detail": {
                {{specific message type}}
             }
          }
```

## 建立 的 Amazon EventBridge 規則 AWS Config
<a name="create-cloudwatch-events-rule-for-awsconfig"></a>

使用下列步驟建立會在 AWS Config發出事件時觸發的 EventBridge 規則。盡可能發出事件。

1. 在導覽窗格中，選擇**規則**。

1. 選擇**建立規則**。

1. 輸入規則的名稱和描述。

   在同一個區域和同一個事件匯流排上，規則不能與另一個規則同名。
**注意**  
事件匯流排從來源接收事件、使用規則來評估事件、套用任何設定的輸入轉換，並將它們路由到適當的目標 ()。您帳戶的預設事件匯流排會從 接收事件 AWS 服務。自訂事件匯流排可以從自訂應用程式和服務接收事件。合作夥伴事件匯流排會從 SaaS 合作夥伴建立的事件來源接收事件。這些事件來自合作夥伴服務或應用程式。如需詳細資訊，請參閱《[Amazon EventBridge 使用者指南》中的 Amazon EventBridge 中的事件匯流排](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html)。 * EventBridge *

1. 針對**規則類型**，選擇**具有事件模式的規則**。

1. 在**事件來源**欄位中，選擇 **AWS 事件或 EventBridge 合作夥伴事件**。

1. (選用) **範例事件類型** 請選擇 **AWS 事件**。

1. (選用) **範例事件** 請選擇會觸發以下規則的事件類型：
   + **AWS 從 CloudTrail 選擇 API 呼叫**，以對此服務進行的 API 呼叫為基礎。如需建立此類型規則的詳細資訊，請參閱[教學課程：建立 AWS CloudTrail API 呼叫的 Amazon EventBridge 規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html)。
   + 選擇 **Config Configuration Item Change (設定組態項目變更)** 以在您帳戶中的資源發生變更時取得通知。

     如這些支援文章所述，您可以在建立或刪除資源時，使用 EventBridge 來接收自訂電子郵件通知。[使用 AWS 帳戶AWS Config 服務建立資源時，如何接收自訂電子郵件通知？](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/)以及[AWS 帳戶 使用 AWS Config 服務刪除資源時，如何接收自訂電子郵件通知？](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/)
   + 選擇 **Config Rules Compliance Change (設定規則合規性變更)** 以在針對您規則進行的合規性檢查失敗時接收通知。

     如本支援文章所述，當資源不合規時，您可以使用 EventBridge 來接收自訂電子郵件通知。[當 AWS 資源不合規時，如何使用 收到通知 AWS Config？](https://repost.aws/knowledge-center/config-resource-non-compliant)
   + 選擇 **Config Rules Re-evaluation Status (設定規則重新評估狀態)** 以取得重新評估狀態通知。
   + 選擇 **Config Configuration Snapshot Delivery Status (設定組態快照交付狀態)** 以取得組態快照交付狀態通知。
   + 選擇 **Config Configuration History Delivery Status (設定組態歷史記錄交付狀態)** 以取得組態歷史記錄交付狀態通知。

1. **建立方法** 請選擇 **使用模式表單**。

1. 在**事件來源**欄位中，選擇 **AWS 服務**。

1. **AWS 服務** 請選擇 **Config**。

1. **事件類型** 請選擇會觸發規則的事件類型：
   + 選擇**所有事件**以建立套用至所有 AWS 服務的規則。若您選擇此選項，您將無法選擇特定訊息類型、規則名稱、資源類型，或資源 ID。
   + **AWS 從 CloudTrail 選擇 API 呼叫**，以對此服務進行 API 呼叫為基礎。如需建立此類型規則的詳細資訊，請參閱[教學課程：建立 AWS CloudTrail API 呼叫的 Amazon EventBridge 規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html)。
   + 選擇 **Config Configuration Item Change (設定組態項目變更)** 以在您帳戶中的資源發生變更時取得通知。

     如這些支援文章所述，您可以在建立或刪除資源時，使用 EventBridge 來接收自訂電子郵件通知。[使用 AWS 帳戶AWS Config 服務建立資源時，如何接收自訂電子郵件通知？](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/)以及[AWS 帳戶 使用 AWS Config 服務刪除資源時，如何接收自訂電子郵件通知？](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/)
   + 選擇 **Config Rules Compliance Change (設定規則合規性變更)** 以在針對您規則進行的合規性檢查失敗時接收通知。

     如本支援文章所述，當資源不合規時，您可以使用 EventBridge 來接收自訂電子郵件通知。[當 AWS 資源不合規時，如何使用 收到通知 AWS Config？](https://repost.aws/knowledge-center/config-resource-non-compliant)
   + 選擇 **Config Rules Re-evaluation Status (設定規則重新評估狀態)** 以取得重新評估狀態通知。
   + 選擇 **Config Configuration Snapshot Delivery Status (設定組態快照交付狀態)** 以取得組態快照交付狀態通知。
   + 選擇 **Config Configuration History Delivery Status (設定組態歷史記錄交付狀態)** 以取得組態歷史記錄交付狀態通知。

1. 選擇 **Any message type (任何訊息類型)** 以接收任何類型的通知。選擇 **Specific message type(s) (特定訊息類型)** 來接收下列通知類型：
   + 如果您選擇 **ConfigurationItemChangeNotification**，當 AWS Config 評估的資源組態變更時，您會收到訊息。
   + 若您選擇 **ComplianceChangeNotification**，您會在 AWS Config 評估的資源合規性類型變更時收到訊息。
   + 如果您選擇 **ConfigRulesEvaluationStarted**，您會在 AWS Config 開始針對指定的資源評估規則時收到訊息。
   + 如果您選擇 **ConfigurationSnapshotDeliveryCompleted**，您會在 AWS Config 成功將組態快照交付至 Amazon S3 儲存貯體時收到訊息。
   + 如果您選擇 **ConfigurationSnapshotDeliveryFailed**，當 AWS Config 無法將組態快照交付至 Amazon S3 儲存貯體時，您會收到訊息。
   + 如果您選擇 **ConfigurationSnapshotDeliveryStarted**，您會在 AWS Config 開始將組態快照交付至 Amazon S3 儲存貯體時收到訊息。
   + 如果您選擇 **ConfigurationHistoryDeliveryCompleted**，您會在 AWS Config 成功將組態歷史記錄交付至 Amazon S3 儲存貯體時收到訊息。

1. 如果您從事件類型下拉式清單中選擇特定**事件類型**，請選擇**任何資源類型**，以建立套用至所有 AWS Config 支援資源類型的規則。

   或選擇 **Specific resource type(s) (特定資源類型)** 然後輸入 AWS Config 支援的資源類型 (例如，`AWS::EC2::Instance`)。

1. 如果您從 **事件類型** 下拉式清單中選擇特定的事件類型，請選擇 **任何資源 ID** 以包含所有 AWS Config 支援的資源 ID。

   或選擇 **Specific resource ID(s) (特定資源 ID)** 然後輸入 AWS Config 支援的資源 ID (例如，`i-04606de676e635647`)。

1. 如果您從 **事件類型** 下拉式清單中選擇特定的事件類型，請選擇 **任何規則名稱** 以包含所有 AWS Config 支援的規則。

   或選擇 **Specific rule name(s) (特定規則名稱)** 然後輸入 AWS Config 支援的規則 (例如 **required-tags**)。

1. **選取目標** 請選擇您準備用於此規則的目標類型，再設定此類型需要的任何其他選項。

1. 顯示的欄位會隨您選擇的服務而異。請視需要輸入此目標類型的特定資訊。

1. 對於許多目標類型而言，EventBridge 需要許可才能將事件傳送到目標。在這些情況下，EventBridge 可建立執行您的規則所需的 IAM 角色。
   + 如需自動建立 IAM 角色，請選擇 **為此特定資源建立新角色**。
   + 若要使用您早前建立的 IAM 角色，請選擇 **Use existing role** (使用現有角色)。

1. (選用) 選擇 **Add target (新增目標)**，為此規則新增另一個目標。

1. (選用) 為規則輸入一或多個標籤。如需詳細資訊，請參閱《[Amazon EventBridge 標籤](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)》。

1. 檢閱您的規則設定，確定其符合您的事件監控要求。

1. 選擇 **建立** 確認您選取的項目。