Tutorial: Überwachen Sie wichtige Änderungen an Ihrer Organisation mit Amazon EventBridge - AWS Organizations
VoraussetzungenSchritt 1: Konfigurieren einer Trail- und EreignisauswahlSchritt 2: Konfigurieren einer Lambda-Funktion Schritt 3: Erstellen Sie ein SNS Amazon-Thema, das E-Mails an Abonnenten sendetSchritt 4: Erstellen Sie eine EventBridge Amazon-RegelSchritt 5: Testen Sie Ihre EventBridge Amazon-RegelBereinigung: Entfernen der nicht mehr benötigten Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Überwachen Sie wichtige Änderungen an Ihrer Organisation mit Amazon EventBridge

Dieses Tutorial zeigt, wie Sie Amazon EventBridge, ehemals Amazon CloudWatch Events, so konfigurieren, dass Ihre Organisation auf Änderungen überwacht wird. Sie beginnen mit der Konfiguration einer Regel, die ausgelöst wird, wenn Benutzer bestimmte AWS Organizations Operationen. Als Nächstes konfigurieren Sie Amazon EventBridge für die Ausführung eines AWS Lambda funktioniert, wenn die Regel ausgelöst wird und Sie Amazon so konfigurieren, dass eine E-Mail mit Details SNS zu dem Ereignis gesendet wird.

Die folgende Abbildung zeigt die wichtigsten Schritte der praktischen Anleitung.

Five-step process for creating and configuring AWS-Services, from trail creation to rule testing.

Schritt 1: Konfigurieren einer Trail- und Ereignisauswahl

Erstellen Sie ein Protokoll, das als Trail bezeichnet wird, in AWS CloudTrail. Sie konfigurieren es so, dass alle API Anrufe erfasst werden.

Schritt 2: Konfigurieren einer Lambda-Funktion

Erstellen Sie ein AWS Lambda Funktion, die Details über das Ereignis in einem S3-Bucket protokolliert.

Schritt 3: Erstellen Sie ein SNS Amazon-Thema, das E-Mails an Abonnenten sendet

Erstellen Sie ein SNS Amazon-Thema, das E-Mails an seine Abonnenten sendet, und abonnieren Sie das Thema dann selbst.

Schritt 4: Erstellen Sie eine EventBridge Amazon-Regel

Erstellen Sie eine Regel, die Amazon anweist, Details EventBridge zu bestimmten API Aufrufen an die Lambda-Funktion und an SNS Themenabonnenten weiterzuleiten.

Schritt 5: Testen Sie Ihre EventBridge Amazon-Regel

Testen Sie die neue Regel, indem Sie eine der überwachten Operationen ausführen. In diesem Tutorial erstellt die überwachte Operation eine Organisationseinheit (OU). Sie sehen sich den Protokolleintrag an, den die Lambda-Funktion erstellt, und Sie sehen sich die E-Mail an, die Amazon SNS an Abonnenten sendet.

Tipp

Außerdem können Sie dieses Tutorial als Leitfaden beim Konfigurieren ähnlicher Operationen verwenden, wie z. B. das Senden von E-Mail-Benachrichtigungen, wenn die Kontoerstellung abgeschlossen ist. Da die Erstellung eines Kontos eine asynchrone Operation ist, werden Sie standardmäßig nicht benachrichtigt, wenn sie abgeschlossen ist. Weitere Informationen zur Verwendung AWS CloudTrail und Amazon EventBridge mit AWS Organizations, finden Sie unter Einloggen und Überwachen AWS Organizations.

Voraussetzungen

In diesem Tutorial wird von Folgendem ausgegangen:

  • Sie können sich anmelden bei AWS Management Console als IAM Benutzer über das Verwaltungskonto in Ihrer Organisation. Der IAM Benutzer muss über Berechtigungen zum Erstellen und Konfigurieren eines Logins CloudTrail, einer Funktion in Lambda, eines Themas in Amazon SNS und einer Regel in Amazon EventBridge verfügen. Weitere Informationen zur Erteilung von Berechtigungen finden Sie unter Access Management im IAMBenutzerhandbuch oder im Handbuch für den Service, für den Sie den Zugriff konfigurieren möchten.

  • Sie haben Zugriff auf einen vorhandenen Amazon Simple Storage Service (Amazon S3) -Bucket (oder Sie sind berechtigt, einen Bucket zu erstellen), um das CloudTrail Protokoll zu empfangen, das Sie in Schritt 1 konfiguriert haben.

Wichtig

Derzeit AWS Organizations wird nur in der Region USA Ost (Nord-Virginia) gehostet (obwohl es weltweit verfügbar ist). Um die Schritte in diesem Tutorial ausführen zu können, müssen Sie den AWS Management Console um diese Region zu verwenden.

Schritt 1: Konfigurieren einer Trail- und Ereignisauswahl

In diesem Schritt melden Sie sich beim Verwaltungskonto an und konfigurieren ein Protokoll (ein sogenanntes Protokoll) in AWS CloudTrail. Sie konfigurieren auch einen Event-Selector auf dem Trail, der alle API Lese-/Schreibaufrufe erfasst, sodass Amazon Aufrufe zum EventBridge Auslösen hat.

Sie erstellen einen Trail wie folgt:

  1. Melden Sie sich an AWS als Administrator des Verwaltungskontos der Organisation und öffnen Sie dann die CloudTrail Konsole unterhttps://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie in der Navigationsleiste in der oberen rechten Ecke der Konsole die Region USA Ost (Nord-Virginia) aus. Wenn Sie eine andere Region wählen, AWS Organizations erscheint nicht als Option in den EventBridge Amazon-Konfigurationseinstellungen und erfasst CloudTrail keine Informationen über AWS Organizations.

  3. Wählen Sie im Navigationsbereich Trails aus.

  4. Wählen Sie Create Trail (Trail erstellen) aus.

  5. Geben Sie für Trail name (Trail-Name) den Namen My-Test-Trail ein.

  6. Wählen Sie eine der folgenden Optionen aus, um anzugeben, wohin CloudTrail die Logs geliefert werden sollen:

    • Wenn Sie einen Bucket erstellen müssen, wählen Sie Create a new S3 bucket (Neuen S3-Bucket erstellen) und geben Sie dann unter Trail log bucket and folder (Trail–Protokoll-Bucket und -Ordner) einen Namen für den neuen Bucket ein.

      Anmerkung

      S3-Bucket-Namen müssen global eindeutig sein.

    • Wenn Sie bereits einen Bucket haben, wählen Sie Use existing S3 bucket (Vorhandenen S3-Bucket verwenden) und anschließend den Bucket-Namen aus der Liste S3 bucket (S3-Bucket).

  7. Wählen Sie Weiter.

  8. Wählen Sie auf der Seite Choose log events (Protokollereignisse auswählen) im Abschnitt Management events (Verwaltungsereignisse) die Optionen Read (Lesen) und Write (Schreiben) aus.

  9. Wählen Sie Weiter.

  10. Prüfen Sie Ihre Auswahlen und wählen Sie dann Create trail (Trail erstellen).

Bei EventBridge Amazon können Sie zwischen verschiedenen Möglichkeiten wählen, Benachrichtigungen zu senden, wenn eine Alarmregel einem eingehenden API Anruf entspricht. In diesem Tutorial werden zwei Methoden demonstriert: das Aufrufen einer Lambda-Funktion, die den API Anruf protokollieren kann, und das Senden von Informationen an ein SNS Amazon-Thema, das eine E-Mail oder Textnachricht an die Abonnenten des Themas sendet. In den nächsten beiden Schritten erstellen Sie die Komponenten, die Sie benötigen: die Lambda-Funktion und das SNS Amazon-Thema.

Schritt 2: Konfigurieren einer Lambda-Funktion

In diesem Schritt erstellen Sie eine Lambda-Funktion, die die API Aktivität protokolliert, die von der EventBridge Amazon-Regel, die Sie später konfigurieren, an sie gesendet wird.

Um eine Lambda-Funktion zu erstellen, die EventBridge Amazon-Ereignisse protokolliert

  1. Öffnen Sie AWS Lambda Konsole bei. https://console.aws.amazon.com/lambda/

  2. Wenn Sie Lambda zum ersten Mal verwenden, wählen Sie auf der Willkommensseite Get Started Now (Erste Schritte); wählen Sie andernfalls Create function (Funktion erstellen) aus.

  3. Wählen Sie auf der Seite Create function (Funktion erstellen) die Option Use a blueprint (Blueprint verwenden) aus.

  4. Geben Sie im Suchfeld Blueprints den Suchbegriff hello für den Filter ein und wählen Sie den Blueprint hello-world aus.

  5. Wählen Sie Konfigurieren aus.

  6. Führen Sie auf der Seite Basic information (Grundlegende Informationen) folgende Schritte aus:

    1. Geben Sie für den Lambda-Funktionsnamen den Namen LogOrganizationEvents in das Textfeld Name ein.

    2. Wählen Sie unter Role (Rolle) die Option Create a new role with basic Lambda permissions (Eine neue Rolle mit den grundlegenden Lambda-Berechtigungen erstellen) aus. Diese Rolle gewährt Ihrer Lambda-Funktion die Berechtigung für den Zugriff auf die erforderlichen Daten zum Schreiben des Ausgabeprotokolls.

  7. Bearbeiten Sie den Code für die Lambda-Funktion wie im folgenden Beispiel:

    console.log('Loading function');

exports.handler = async (event, context) => {
    console.log('LogOrganizationsEvents');
    console.log('Received event:', JSON.stringify(event, null, 2));
    return event.key1;  // Echo back the first key value
    // throw new Error('Something went wrong');
};

    Dieser Beispielcode protokolliert das Ereignis mit einer LogOrganizationEvents Markierungszeichenfolge, gefolgt von der JSON Zeichenfolge, aus der das Ereignis besteht.

  8. Wählen Sie Funktion erstellen aus.

Schritt 3: Erstellen Sie ein SNS Amazon-Thema, das E-Mails an Abonnenten sendet

In diesem Schritt erstellen Sie ein SNS Amazon-Thema, das Informationen per E-Mail an seine Abonnenten sendet. Sie machen dieses Thema zu einem Ziel der EventBridge Amazon-Regel, die Sie später erstellen.

Um ein SNS Amazon-Thema zu erstellen, um eine E-Mail an Abonnenten zu senden

  1. Öffnen Sie die SNS Amazon-Konsole unterhttps://console.aws.amazon.com/sns/v3/.

  2. Wählen Sie im Navigationsbereich Topics (Themen) aus.

  3. Wählen Sie Create new topic (Neues Thema erstellen).

    1. Geben Sie in das Feld Topic name (Themenname) den Namen OrganizationsCloudWatchTopic.

    2. Geben Sie unter Display name (Anzeigename) OrgsCWEvnt ein.

    3. Wählen Sie Thema erstellen aus.

  4. Jetzt können Sie einen Abonnementen für das Thema erstellen. Wählen Sie das ARN für das Thema aus, das Sie gerade erstellt haben.

  5. Wählen Sie Create subscription (Abonnement erstellen) aus.

    1. Wählen Sie auf der Seite Create subscription unter Protocol Email aus.

    2. Geben Sie unter Endpunkt Ihre E-Mail-Adresse ein.

    3. Wählen Sie Create subscription (Abonnement erstellen) aus. AWS sendet eine E-Mail an die E-Mail-Adresse, die Sie im vorherigen Schritt angegeben haben. Warten Sie, bis die E-Mail ankommt und wählen Sie dann den Link Confirm subscription darin aus, um den erfolgreichen Erhalt der E-Mail zu bestätigen.

    4. Kehren Sie zur Konsole zurück und aktualisieren Sie die Seite. Die Nachricht Pending confirmation wird ausgeblendet und durch die nun gültige Abonnement-ID ersetzt.

Schritt 4: Erstellen Sie eine EventBridge Amazon-Regel

Jetzt, da die erforderliche Lambda-Funktion in Ihrem Konto vorhanden ist, erstellen Sie eine EventBridge Amazon-Regel, die sie aufruft, wenn die Kriterien in der Regel erfüllt sind.

Um eine Regel zu erstellen EventBridge

  1. Öffnen Sie die EventBridge Amazon-Konsole unterhttps://console.aws.amazon.com/events/.

  2. Stellen Sie die Konsole auf die Region USA Ost (Nord-Virginia) ein, da sonst keine Informationen zu Organizations verfügbar sind. Wählen Sie in der Navigationsleiste in der oberen rechten Ecke der Konsole die Region USA Ost (Nord-Virginia) aus.

  3. Anweisungen zum Erstellen von Regeln finden Sie unter Erste Schritte mit Amazon EventBridge im EventBridge Amazon-Benutzerhandbuch.

Schritt 5: Testen Sie Ihre EventBridge Amazon-Regel

In diesem Schritt erstellen Sie eine Organisationseinheit (OU) und beachten die EventBridge Amazon-Regel, generieren einen Protokolleintrag und senden sich selbst eine E-Mail mit Einzelheiten zu dem Ereignis.

AWS Management Console
So erstellen Sie eine OU

  1. Öffnen Sie AWS Organizations Konsole zur AWS-KontenSeite.

  2. Aktivieren Sie das Kontrollkästchen Blue checkmark icon indicating confirmation or completion of a task. Root-OU, wählen Sie Aktionen und dann unter Organisationseinheit die Option Neu erstellen.

  3. Geben Sie als Namen der Organisationseinheit TestCWEOU ein und wählen Sie dann Create organizational unit (Organisationseinheit erstellen) aus.
Um den EventBridge Logeintrag zu sehen

  1. Öffnen Sie die CloudWatch Konsole unterhttps://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie auf der Navigationsseite Logs (Protokolle).

  3. Wählen Sie unter Protokollgruppen die Gruppe aus, die Ihrer Lambda-Funktion zugeordnet ist: LogOrganizationEvents/aws/lambda/.

  4. Jede Gruppe enthält mindestens einen Stream. Außerdem sollte eine Gruppe für heute vorhanden sein. Wählen Sie diese aus.

  5. Zeigen Sie das Protokoll an. Es sollten Zeilen angezeigt werden, die den folgenden ähneln:

    Log entries showing event reception with timestamp, version, and ID details.

  6. Wählen Sie die mittlere Zeile des Eintrags aus, um den vollständigen Text des empfangenen Ereignisses zu sehen. JSON Sie können alle Details der API Anfrage in den responseElements Teilen requestParameters und in der Ausgabe sehen.

    2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
{
    "version": "0",
    "id": "123456-EXAMPLE-GUID-123456",
    "detail-type": "AWS API Call via CloudTrail",
    "source": "aws.organizations",
    "account": "123456789012",
    "time": "2017-03-09T22:44:26Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "eventVersion": "1.04",
        "userIdentity": {
            ...
        },
        "eventTime": "2017-03-09T22:44:26Z",
        "eventSource": "organizations.amazonaws.com",
        "eventName": "CreateOrganizationalUnit",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "192.168.0.1",
        "userAgent": "AWS Organizations Console, aws-internal/3",
        "requestParameters": {
            "parentId": "r-exampleRootId",
            "name": "TestCWEOU"
        },
        "responseElements": {
            "organizationalUnit": {
                "name": "TestCWEOU",
                "id": "ou-exampleRootId-exampleOUId",
                "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId"
            }
        },
        "requestID": "123456-EXAMPLE-GUID-123456",
        "eventID": "123456-EXAMPLE-GUID-123456",
        "eventType": "AwsApiCall"
    }
}

  7. Suchen Sie in Ihrem E-Mail-Konto nach einer Nachricht von O rgsCWEvnt (dem Anzeigenamen Ihres SNS Amazon-Themas). Der Text der E-Mail enthält dieselbe JSON Textausgabe wie der Protokolleintrag, der im vorherigen Schritt angezeigt wurde.

Bereinigung: Entfernen der nicht mehr benötigten Ressourcen

Um Gebühren zu vermeiden, sollten Sie alle löschen AWS Ressourcen, die Sie im Rahmen dieses Tutorials erstellt haben und die Sie nicht behalten möchten.

Um deine aufzuräumen AWS Umgebung

  1. Verwenden Sie die CloudTrail Konsole, um den Pfad mit dem Namen zu löschenMy-Test-Trail, den Sie in Schritt 1 erstellt haben.

  2. Wenn Sie in Schritt 1 einen Amazon-S3-Bucket erstellt haben, verwenden Sie zum Löschen die Amazon-S3-Konsole.

  3. Verwenden Sie die Lambda-Konsole unter zum Löschen der Funktion namens LogOrganizationEvents, die Sie in Schritt 2 erstellt haben.

  4. Verwenden Sie die SNSAmazon-Konsole, um das SNS Amazon-Thema mit dem Namen zu löschenOrganizationsCloudWatchTopic, das Sie in Schritt 3 erstellt haben.

  5. Verwenden Sie die CloudWatch Konsole, um die EventBridge Regel mit dem Namen zu löschenOrgsMonitorRule, die Sie in Schritt 4 erstellt haben.

  6. Verwenden Sie abschließnd die Organizations-Konsole zum Löschen der Organisationseinheit mit dem Namen TestCWEOU, die Sie in Schritt 5 erstellt haben.

Das war's. In diesem Tutorial haben Sie konfiguriert, dass Ihre Organisation EventBridge auf Änderungen überwacht wird. Sie haben eine Regel konfiguriert, die ausgelöst wird, wenn Benutzer bestimmte AWS Organizations Operationen. Mit der Regel wurde eine Lambda-Funktion ausgeführt, die mit der das Ereignis protokolliert und eine E-Mail mit Details zum Ereignis gesendet wurde.