Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Supervisión de AWS Config con Amazon EventBridge
Amazon EventBridge proporciona una secuencia de eventos de sistema casi en tiempo real que describen cambios en los recursos de AWS. Puede usar Amazon EventBridge para detectar cambios en el estado de los eventos de AWS Config y reaccionar ante ellos.
Tiene la opción de crear una regla que se ejecute siempre que haya una transición de estado o cuando haya una transición a uno o varios estados de interés. A continuación, en función de las reglas que usted cree, Amazon EventBridge invocará una o varias acciones de destino cuando un evento coincida con los valores especificados en una regla. Dependiendo del tipo de evento, es posible que desee enviar notificaciones, capturar información sobre el evento, tomar medidas correctivas, iniciar eventos o adoptar otras acciones.
No obstante, antes de crear reglas de eventos para AWS Config, debe hacer lo siguiente:
-
Familiarícese con los eventos, las reglas y los destinos de EventBridge. Para obtener más información, consulte ¿Qué es Amazon EventBridge?
-
Para obtener más información acerca de cómo comenzar a utilizar EventBridge y configurar las reglas, consulte Getting started with Amazon EventBridge.
-
Crear el destino o los destinos que se utilizarán en las reglas de eventos.
Temas
Consideraciones
No recibirá alertas a través de EventBridge para los siguientes tipos de recursos si no las registra con AWS Config:
AWS::ACM::CertificateAWS::CloudTrail::TrailAWS::CloudWatch::AlarmAWS::EC2::CustomerGatewayAWS::EC2::EIPAWS::EC2::HostAWS::EC2::InstanceAWS::EC2::InternetGatewayAWS::EC2::NetworkAclAWS::EC2::NetworkInterfaceAWS::EC2::RouteTableAWS::EC2::SecurityGroupAWS::EC2::SubnetAWS::EC2::VPCAWS::EC2::VPNConnectionAWS::EC2::VPNGatewayAWS::EC2::VolumeAWS::ElasticLoadBalancingV2::LoadBalancerAWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::RoleAWS::IAM::UserAWS::RDS::DBInstanceAWS::RDS::DBSecurityGroupAWS::RDS::DBSnapshotAWS::RDS::DBSubnetGroupAWS::RDS::EventSubscriptionAWS::Redshift::ClusterAWS::Redshift::ClusterParameterGroupAWS::Redshift::ClusterSecurityGroupAWS::Redshift::ClusterSnapshotAWS::Redshift::ClusterSubnetGroupAWS::Redshift::EventSubscriptionAWS::S3::Bucket
Formato de Amazon EventBridge para AWS Config
El evento de EventBridge para AWS Config presenta el siguiente formato:
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "event type", "source": "aws.config", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [resources], "detail": {specific message type} }
Creación de una regla de Amazon EventBridge para AWS Config
Siga los pasos que se describen a continuación para crear una regla de EventBridge que se active cuando se produzca un evento emitido por AWS Config. Los eventos se emiten en la medida de lo posible.
-
En el panel de navegación, seleccione Reglas.
-
Elija Creación de regla.
-
Escriba un nombre y una descripción para la regla.
Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus de eventos.
nota
Un bus de eventos recibe eventos de una fuente, usa reglas para evaluarlos, aplica cualquier transformación de entrada configurada y los enruta a los destinos adecuados. El bus de eventos predeterminado de su cuenta recibe eventos de Servicios de AWS. Un bus de eventos personalizado puede recibir eventos de sus aplicaciones y servicios personalizados. Un bus de eventos asociado recibe eventos de una fuente de eventos creada por un socio de SaaS. Estos eventos provienen de los servicios o aplicaciones de socios. Para obtener más información, consulte Buses de eventos de Amazon EventBridge en la Guía del usuario de Amazon EventBridge.
-
En Tipo de regla, elija Regla con un patrón de evento.
-
En Origen del evento, elija Eventos de AWS o eventos de socios de EventBridge.
-
(Opcional) En Ejemplo de tipo de evento, elija Eventos de AWS.
-
(Opcional) En Tipo de evento, elija el tipo de evento que activará la regla:
-
Elija Llamada a la API de AWS mediante CloudTrail para basar las reglas en las llamadas a la API realizadas a este servicio. Para obtener más información sobre la creación de este tipo de regla, consulte Tutorial: Create an Amazon EventBridge rule for AWS CloudTrail API calls.
-
Elija Config Configuration Item Change (Config: Cambio de un elemento de configuración) para recibir notificaciones cuando cambie un recurso de su cuenta.
Tal y como se describe en estos artículos de soporte, puede usar EventBridge para recibir notificaciones por correo electrónico personalizadas cuando se crea o elimina un recurso. ¿Cómo puedo recibir notificaciones personalizadas por correo electrónico cuando se crea un recurso en mi Cuenta de AWS mediante el servicio AWS Config?
y ¿Cómo puedo recibir notificaciones personalizadas por correo electrónico cuando se elimina un recurso de mi Cuenta de AWS mediante el servicio AWS Config? -
Elija Config Rules Compliance Change (Config: Cambio en la conformidad de las reglas) para obtener notificaciones cuando se produzca un error en una comprobación de conformidad de sus reglas.
Tal y como se describe en este artículo de soporte, puede usar EventBridge para recibir notificaciones personalizadas por correo electrónico cuando un recurso no es conforme. ¿Cómo puedo recibir notificaciones cuando un recurso de AWS no cumple con los requisitos mediante AWS Config?
-
Elija Config Rules Re-evaluation Status (Config: Estado de reevaluación de reglas) para obtener notificaciones de estado de reevaluación.
-
Elija Config Configuration Snapshot Delivery Status (Config: Estado de entrega de instantáneas de configuración) para obtener notificaciones de estado de entrega de instantáneas de configuración.
-
Elija Config Configuration History Delivery Status (Config: Estado de entrega del historial de configuración) para obtener notificaciones de estado de entrega del historial de configuración.
-
-
En Método de creación, seleccione Formulario de patrón de eventos.
-
En Origen de evento, seleccione Servicios de AWS.
-
Para el Servicio de AWS, seleccione Config.
-
En Tipo de evento, elija el tipo de evento que activará la regla:
-
Elija Todos los eventos para crear una regla que se aplique a todos los servicios de AWS. Si elige esta opción, no puede elegir tipos de mensajes, nombres de reglas, tipos de recursos ni ID de recurso específicos.
-
Elija Llamada a la API de AWS mediante CloudTrail para basar las reglas en las llamadas a la API realizadas a este servicio. Para obtener más información sobre la creación de este tipo de regla, consulte Tutorial: Create an Amazon EventBridge rule for AWS CloudTrail API calls.
-
Elija Config Configuration Item Change (Config: Cambio de un elemento de configuración) para recibir notificaciones cuando cambie un recurso de su cuenta.
Tal y como se describe en estos artículos de soporte, puede usar EventBridge para recibir notificaciones por correo electrónico personalizadas cuando se crea o elimina un recurso. ¿Cómo puedo recibir notificaciones personalizadas por correo electrónico cuando se crea un recurso en mi Cuenta de AWS mediante el servicio AWS Config?
y ¿Cómo puedo recibir notificaciones personalizadas por correo electrónico cuando se elimina un recurso de mi Cuenta de AWS mediante el servicio AWS Config? -
Elija Config Rules Compliance Change (Config: Cambio en la conformidad de las reglas) para obtener notificaciones cuando se produzca un error en una comprobación de conformidad de sus reglas.
Tal y como se describe en este artículo de soporte, puede usar EventBridge para recibir notificaciones personalizadas por correo electrónico cuando un recurso no es conforme. ¿Cómo puedo recibir notificaciones cuando un recurso de AWS no cumple con los requisitos mediante AWS Config?
-
Elija Config Rules Re-evaluation Status (Config: Estado de reevaluación de reglas) para obtener notificaciones de estado de reevaluación.
-
Elija Config Configuration Snapshot Delivery Status (Config: Estado de entrega de instantáneas de configuración) para obtener notificaciones de estado de entrega de instantáneas de configuración.
-
Elija Config Configuration History Delivery Status (Config: Estado de entrega del historial de configuración) para obtener notificaciones de estado de entrega del historial de configuración.
-
-
Elija Any message type (Cualquier tipo de mensaje) para recibir notificaciones de cualquier tipo. Elija Specific message type(s) (Tipos de mensajes específicos) para recibir los siguientes tipos de notificaciones:
-
Si elige ConfigurationItemChangeNotification, recibirá mensajes cuando cambie la configuración de un recurso que evalúa AWS Config.
-
Si elige ComplianceChangeNotification, recibirá mensajes cuando cambie el tipo de conformidad de un recurso evaluado por AWS Config.
-
Si elige ConfigRulesEvaluationStarted, recibirá mensajes cuando AWS Config comience a evaluar la regla con los recursos especificados.
-
Si elige ConfigurationSnapshotDeliveryCompleted, recibirá mensajes cuando AWS Config entregue correctamente la instantánea de configuración en el bucket de Amazon S3.
-
Si elige ConfigurationSnapshotDeliveryFailed, recibirá mensajes cuando AWS Config no pueda entregar la instantánea de configuración al bucket de Amazon S3.
-
Si elige ConfigurationSnapshotDeliveryStarted, recibirá mensajes cuando AWS Config comience a entregar la instantánea de configuración al bucket de Amazon S3.
-
Si elige ConfigurationHistoryDeliveryCompleted, recibirá mensajes cuando AWS Config entregue correctamente el historial de configuración al bucket de Amazon S3.
-
-
Si ha elegido un tipo de evento específico en la lista desplegable Tipo de evento, elija Cualquier tipo de recurso para crear una regla que se aplique a todos los tipos de recursos admitidos por AWS Config.
O elija Specific resource type(s) (Tipos de recursos específicos) y, a continuación, escriba el tipo de recurso admitido por AWS Config (por ejemplo,
AWS::EC2::Instance). -
Si ha elegido un tipo de evento específico en la lista desplegable Tipo de evento, elija Cualquier ID de recurso para incluir cualquier ID de recurso admitido por AWS Config.
O elija Specific resource ID(s) (ID de recursos específicos) y, a continuación, escriba el ID de recurso admitido por AWS Config (por ejemplo,
i-04606de676e635647). -
Si ha elegido un tipo de evento específico en la lista desplegable Tipo de evento, elija Cualquier nombre de regla para incluir cualquier regla admitida por AWS Config.
O elija Specific rule name(s) (Nombres de reglas específicas) y, a continuación, escriba la regla admitida por AWS Config (por ejemplo, required-tags).
-
En la lista Seleccionar destinos, elija el tipo de destino definido para usar con esta regla y luego configure las opciones adicionales que requiera dicho tipo.
-
Los campos mostrados varían en función del servicio que seleccione. Introduzca la información específica de este tipo de destino, según sea necesario.
-
Si hay muchos tipos de destino, EventBridge necesita permisos para enviar eventos al destino. En estos casos, EventBridge puede crear el rol de IAM necesario para que se ejecute la regla.
-
Para crear un rol de IAM automáticamente, elija Creación de un nuevo rol para este recurso específico.
-
Para utilizar un rol de IAM que haya creado antes, elija Use existing role (Usar rol existente).
-
-
(Opcional) Elija Add target (Añadir destino) para añadir otro destino para esta regla.
-
(Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulte Etiquetas de Amazon EventBridge.
-
Revise la configuración de las reglas para asegurarse de que se ajusta a los requisitos de monitorización de eventos.
-
Elija Crear para confirmar la opción elegida.
