Eine EventBridge Regel für eine Amazon S3 S3-Quelle erstellen (CLI)

Um einen AWS CloudTrail Trail zu erstellen und die Protokollierung zu aktivieren

Um mit dem einen Trail AWS CLI zu erstellen, rufen Sie den create-trail Befehl auf und geben Sie Folgendes an:

Weitere Informationen finden Sie unter Erstellen eines Pfads mit der AWS Befehlszeilenschnittstelle.

1. Rufen Sie den Befehl create-trail auf und beziehen Sie die Parameter --name und --s3-bucket-name ein.

   Warum nehme ich diese Änderung vor? Dadurch wird der für Ihren S3-Quell-Bucket erforderliche CloudTrail Trail erstellt.

   Der folgende Befehl verwendet --name und --s3-bucket-name zum Erstellen eines Trails mit dem Namen my-trail und eines Buckets mit dem Namen amzn-s3-demo-source-bucket.

   aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-source-bucket

2. Rufen Sie den Befehl start-logging auf und beziehen Sie den --name-Parameter ein.

   Warum nehme ich diese Änderung vor? Dieser Befehl startet die CloudTrail Protokollierung für Ihren Quell-Bucket und sendet Ereignisse an EventBridge.

   Beispiel:

   Im folgenden Befehl wird --name verwendet, um die Protokollierung auf einem Trail mit der Bezeichnung my-trail zu starten.

   aws cloudtrail start-logging --name my-trail

3. Rufen Sie den Befehl put-event-selectors auf und beziehen Sie die Parameter --trail-name und --event-selectors ein. Verwenden Sie Event-Selektoren, um anzugeben, dass Ihr Trail Datenereignisse für Ihren Quell-Bucket protokollieren und die Ereignisse an die EventBridge Regel senden soll.

   Warum nehme ich diese Änderung vor? Dieser Befehl filtert Ereignisse.

   Beispiel:

   Im folgenden Beispielbefehl werden --trail-name und --event-selectors verwendet, um die Verwaltung von Datenereignissen für einen Quell-Bucket und einen Präfix namens amzn-s3-demo-source-bucket/myFolder anzugeben.

   aws cloudtrail put-event-selectors --trail-name my-trail --event-selectors '[{ "ReadWriteType": "WriteOnly", "IncludeManagementEvents":false, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-source-bucket/myFolder/file.zip"] }] }]'

Um eine EventBridge Regel mit Amazon S3 als Ereignisquelle und CodePipeline als Ziel zu erstellen und die Berechtigungsrichtlinie anzuwenden

1. Erteilen Sie Berechtigungen EventBridge , die CodePipeline zum Aufrufen der Regel verwendet werden können. Weitere Informationen finden Sie unter Verwenden ressourcenbasierter Richtlinien für Amazon. EventBridge

   1. Verwenden Sie das folgende Beispiel, um die Vertrauensrichtlinie zu erstellen, damit EventBridge Sie die Servicerolle übernehmen können. Geben Sie ihr den Namen trustpolicyforEB.json.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "events.amazonaws.com"
                  },
                  "Action": "sts:AssumeRole"
              }
          ]
      }

   2. Verwenden Sie den folgenden Befehl, um die Role-for-MyRule-Rolle zu erstellen und die Vertrauensrichtlinie anzufügen.

      Warum nehme ich diese Änderung vor? Durch das Hinzufügen dieser Vertrauensrichtlinie zur Rolle werden Berechtigungen für erstellt EventBridge.

      aws iam create-role --role-name Role-for-MyRule --assume-role-policy-document file://trustpolicyforEB.json

   3. Erstellen Sie die BerechtigungsrichtlinieJSON, wie hier für die genannte Pipeline gezeigtMyFirstPipeline. Geben Sie der Berechtigungsrichtlinie den Namen permissionspolicyforEB.json.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "codepipeline:StartPipelineExecution"
                  ],
                  "Resource": [
                      "arn:aws:codepipeline:us-west-2:80398EXAMPLE:MyFirstPipeline"
                  ]
              }
          ]
      }
      

   4. Führen Sie den folgenden Befehl aus, um der erstellten Role-for-MyRule-Rolle die neue CodePipeline-Permissions-Policy-for-EB-Berechtigungsrichtlinie anzufügen.

      aws iam put-role-policy --role-name Role-for-MyRule --policy-name CodePipeline-Permissions-Policy-For-EB --policy-document file://permissionspolicyforEB.json

2. Rufen Sie den Befehl „put-rule“ auf und beziehen Sie die Parameter „--name“, „--event-pattern“ und „--role-arn“ ein.

   Mit dem folgenden Beispielbefehl wird eine Regel mit dem Namen „MyS3SourceRule“ erstellt.

   aws events put-rule --name "MyS3SourceRule" --event-pattern "{\"source\":[\"aws.s3\"],\"detail-type\":[\"AWS API Call via CloudTrail\"],\"detail\":{\"eventSource\":[\"s3.amazonaws.com\"],\"eventName\":[\"CopyObject\",\"PutObject\",\"CompleteMultipartUpload\"],\"requestParameters\":{\"bucketName\":[\"amzn-s3-demo-source-bucket\"],\"key\":[\"my-key\"]}}}
    --role-arn "arn:aws:iam::ACCOUNT_ID:role/Role-for-MyRule"

3. Um sie CodePipeline als Ziel hinzuzufügen, rufen Sie den put-targets Befehl auf und geben Sie die --targets Parameter --rule und an.

   Der folgende Befehl legt fest, dass für die Regel mit dem Namen MyS3SourceRule die Ziel-Id aus der Nummer 1 besteht. Dies bedeutet, dass in einer Liste mit Zielen für die Regel dies Ziel 1 ist. Der Befehl gibt zudem ein Beispiel ARN für die Pipeline an. Die Pipeline startet, wenn Änderungen im Repository auftreten.

   aws events put-targets --rule MyS3SourceRule --targets Id=1,Arn=arn:aws:codepipeline:us-west-2:80398EXAMPLE:TestPipeline

Um den PollForSourceChanges Parameter Ihrer Pipeline zu bearbeiten

1. Führen Sie den get-pipeline Befehl aus, um die Pipeline-Struktur in eine JSON Datei zu kopieren. Geben Sie für eine Pipeline mit dem Namen MyFirstPipeline den folgenden Befehl ein:

   aws codepipeline get-pipeline --name MyFirstPipeline >pipeline.json

   Dieser Befehl gibt nichts zurück. Die erstellte Datei sollte jedoch in dem Verzeichnis auftauchen, in dem Sie den Befehl ausgeführt haben.

2. Öffnen Sie die JSON Datei in einem beliebigen Klartext-Editor und bearbeiten Sie die Quellphase, indem Sie den PollForSourceChanges Parameter für einen Bucket mit dem Namen amzn-s3-demo-source-bucket to ändernfalse, wie in diesem Beispiel gezeigt.

   Warum nehme ich diese Änderung vor? Durch Festlegen dieses Parameters in false werden periodische Prüfungen deaktiviert. Sie können daher nur die ereignisbasierte Erkennung von Änderungen verwenden.

   "configuration": {
       "S3Bucket": "amzn-s3-demo-source-bucket",
       "PollForSourceChanges": "false",
       "S3ObjectKey": "index.zip"
   },

3. Wenn Sie mit der Pipeline-Struktur arbeiten, die mit dem get-pipeline Befehl abgerufen wurde, müssen Sie die metadata Zeilen aus der JSON Datei entfernen. Andernfalls kann der update-pipeline-Befehl sie nicht nutzen. Entfernen Sie die "metadata": { }-Zeilen und die Felder "created", "pipelineARN" und "updated".

   Entfernen Sie z. B. die folgenden Zeilen aus der Struktur:

   "metadata": {
       "pipelineArn": "arn:aws:codepipeline:region:account-ID:pipeline-name",
       "created": "date",
       "updated": "date"
   },

   Speichern Sie die Datei.

4. Um Ihre Änderungen zu übernehmen, führen Sie den update-pipeline Befehl aus und geben Sie die JSON Pipeline-Datei an:

   Wichtig

   Achten Sie darauf, dass file:// vor dem Dateinamen steht. Dies ist bei diesem Befehl erforderlich.

   aws codepipeline update-pipeline --cli-input-json file://pipeline.json

   Dieser Befehl gibt die gesamte Struktur der bearbeiteten Pipeline zurück.

   Anmerkung

   Der Befehl update-pipeline stoppt die Pipeline. Wenn eine Revision über die Pipeline ausgeführt wird, wenn Sie den Befehl update-pipeline ausführen, wird diese Ausführung gestoppt. Sie müssen die Ausführung der Pipeline manuell starten, um die Revision über die aktualisierte Pipeline auszuführen. Verwenden Sie den start-pipeline-execution-Befehl, um Ihre Pipeline manuell zu starten.