Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Tutorial: Überwachen Sie wichtige Änderungen an Ihrer Organisation mit Amazon EventBridge
<a name="orgs_tutorials_cwe"></a>

Dieses Tutorial zeigt, wie Sie Amazon EventBridge, ehemals Amazon CloudWatch Events, so konfigurieren, dass Ihre Organisation auf Änderungen überwacht wird. Konfigurieren Sie zunächst eine Regel, die ausgelöst wird, wenn Benutzer bestimmte AWS Organizations -Operationen aufrufen. Als Nächstes konfigurieren Sie Amazon so, EventBridge dass eine AWS Lambda Funktion ausgeführt wird, wenn die Regel ausgelöst wird, und Sie konfigurieren Amazon SNS so, dass eine E-Mail mit Details zu dem Ereignis gesendet wird. 

Die folgende Abbildung zeigt die wichtigsten Schritte der praktischen Anleitung.

**[Schritt 1: Konfigurieren einer Trail- und Ereignisauswahl](#tutorial-cwe-step1)**  
Erstellen Sie ein Protokoll, ein sogenanntes *Trail*, in AWS CloudTrail. Es wird auf die Erfassung aller API-Aufrufe konfiguriert.

**[Schritt 2: Konfigurieren einer Lambda-Funktion](#tutorial-cwe-step2)**  
Erstellen Sie eine AWS Lambda Funktion, die Details über das Ereignis in einem S3-Bucket protokolliert.

**[Schritt 3: Erstellen Sie ein Amazon-SNS-Thema, das E-Mails an Abonnenten sendet](#tutorial-cwe-step3)**  
Erstellen Sie ein Amazon-SNS-Thema, das E-Mails an Abonnenten sendet und abonnieren Sie das Thema selbst.

**[Schritt 4: Erstellen Sie eine EventBridge Amazon-Regel](#tutorial-cwe-step4)**  
Erstellen Sie eine Regel, die Amazon anweist, Details EventBridge zu bestimmten API-Aufrufen an die Lambda-Funktion und an Abonnenten von SNS-Themen weiterzuleiten.

**[Schritt 5: Testen Sie Ihre EventBridge Amazon-Regel](#tutorial-cwe-step5)**  
Testen Sie die neue Regel, indem Sie eine der überwachten Operationen ausführen. In diesem Tutorial erstellt die überwachte Operation eine Organisationseinheit (OU). Sie zeigen den Protokolleintrag an, den die Lambda-Funktion erstellt, und Sie zeigen die E-Mail an, die von Amazon SNS an Abonnenten gesendet wird.

**Tipp**  
Außerdem können Sie dieses Tutorial als Leitfaden beim Konfigurieren ähnlicher Operationen verwenden, wie z. B. das Senden von E-Mail-Benachrichtigungen, wenn die Kontoerstellung abgeschlossen ist. Da die Erstellung eines Kontos eine asynchrone Operation ist, werden Sie standardmäßig nicht benachrichtigt, wenn sie abgeschlossen ist. Weitere Informationen zur Verwendung AWS CloudTrail und Amazon EventBridge mit AWS Organizations finden Sie unter[Einloggen und Überwachen AWS Organizations](orgs_security_incident-response.md).

## Voraussetzungen
<a name="tutorial-cwe-prereqs"></a>

In diesem Tutorial wird von Folgendem ausgegangen:
+ Sie können sich über das Verwaltungskonto in Ihrer Organisation AWS-Managementkonsole als IAM-Benutzer anmelden. Der IAM-Benutzer muss über Berechtigungen zum Erstellen und Konfigurieren einer Anmeldung CloudTrail, einer Funktion in Lambda, eines Themas in Amazon SNS und einer Regel in Amazon verfügen. EventBridge Weitere Informationen zum Erteilen von Berechtigungen finden Sie unter [Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch* oder im Leitfaden für den Service, für den Sie den Zugriff konfigurieren möchten.
+ Sie haben Zugriff auf einen vorhandenen Amazon Simple Storage Service (Amazon S3) -Bucket (oder Sie sind berechtigt, einen Bucket zu erstellen), um das CloudTrail Protokoll zu empfangen, das Sie in Schritt 1 konfiguriert haben.

**Wichtig**  
Wird derzeit nur in der Region USA Ost (Nord-Virginia) gehostet (obwohl es weltweit verfügbar ist). AWS Organizations Um die Schritte in diesem Tutorial ausführen zu können, müssen Sie die AWS-Managementkonsole für die Verwendung dieser Region konfigurieren. 

## Schritt 1: Konfigurieren einer Trail- und Ereignisauswahl
<a name="tutorial-cwe-step1"></a>

In diesem Schritt melden Sie sich am Verwaltungskonto an und konfigurieren ein Protokoll (namens *Trail*) in AWS CloudTrail. Sie konfigurieren auch einen Event-Selector auf dem Trail, der alle read/write API-Aufrufe erfasst, sodass Amazon Aufrufe zum Auslösen EventBridge hat.

**So erstellen Sie einen Trail**

1. Melden Sie sich AWS als Administrator des Verwaltungskontos der Organisation an und öffnen Sie dann die CloudTrail Konsole unter[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Wählen Sie in der Navigationsleiste in der oberen rechten Ecke der Konsole die Region **USA Ost (Nord-Virginia)** aus. Wenn Sie eine andere Region wählen, wird in den EventBridge Amazon-Konfigurationseinstellungen AWS Organizations nicht als Option angezeigt und CloudTrail es werden keine Informationen darüber erfasst AWS Organizations.

1. Wählen Sie im Navigationsbereich **Trails** aus.

1. Wählen Sie **Create Trail (Trail erstellen)** aus.

1. Geben Sie für **Trail name (Trail-Name)** den Namen **My-Test-Trail** ein. 

1. Wählen Sie eine der folgenden Optionen aus, um anzugeben, wohin CloudTrail die Logs geliefert werden sollen:
   + Wenn Sie einen Bucket erstellen müssen, wählen Sie **Create a new S3 bucket** (Neuen S3-Bucket erstellen) und geben Sie dann unter **Trail log bucket and folder** (Trail–Protokoll-Bucket und -Ordner) einen Namen für den neuen Bucket ein.
**Anmerkung**  
S3-Bucket-Namen müssen ***global*** eindeutig sein.
   + Wenn Sie bereits einen Bucket haben, wählen Sie **Use existing S3 bucket** (Vorhandenen S3-Bucket verwenden) und anschließend den Bucket-Namen aus der Liste **S3 bucket** (S3-Bucket).

1. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Choose log events** (Protokollereignisse auswählen) im Abschnitt **Management events** (Verwaltungsereignisse) die Optionen **Read** (Lesen) und **Write** (Schreiben) aus.

1. Wählen Sie **Weiter** aus.

1. Prüfen Sie Ihre Auswahlen und wählen Sie dann **Create trail** (Trail erstellen).

Amazon EventBridge bietet Ihnen die Wahl zwischen verschiedenen Möglichkeiten, Benachrichtigungen zu senden, wenn eine Alarmregel mit einem eingehenden API-Aufruf übereinstimmt. In diesem Tutorial werden zwei Methoden gezeigt: das Aufrufen einer Lambda-Funktion, die den API-Aufruf protokollieren kann, und das Senden von Informationen an ein Amazon-SNS-Thema, das eine E-Mail oder Textnachricht an die Abonnenten des Themas sendet. In den nächsten zwei Schritten erstellen Sie die erforderlichen Komponenten: die Lambda-Funktion und das Amazon-SNS-Thema.

## Schritt 2: Konfigurieren einer Lambda-Funktion
<a name="tutorial-cwe-step2"></a>

In diesem Schritt erstellen Sie eine Lambda-Funktion, die die API-Aktivität protokolliert, die von der EventBridge Amazon-Regel, die Sie später konfigurieren, an sie gesendet wird.

**Um eine Lambda-Funktion zu erstellen, die EventBridge Amazon-Ereignisse protokolliert**

1. Öffnen Sie die AWS Lambda Konsole unter. [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)

1. Wenn Sie Lambda zum ersten Mal verwenden, wählen Sie auf der Willkommensseite **Get Started Now** (Erste Schritte); wählen Sie andernfalls **Create function** (Funktion erstellen) aus.

1. Wählen Sie auf der Seite **Create function (Funktion erstellen)** die Option **Use a blueprint (Blueprint verwenden)** aus.

1. Geben Sie im Suchfeld **Blueprints** den Suchbegriff **hello** für den Filter ein und wählen Sie den Blueprint **hello-world** aus.

1. Wählen Sie **Konfigurieren** aus.

1. Führen Sie auf der Seite **Basic information (Grundlegende Informationen)** folgende Schritte aus:

   1. Geben Sie für den Lambda-Funktionsnamen den Namen **LogOrganizationEvents** in das Textfeld **Name** ein. 

   1. Wählen Sie unter **Role (Rolle)** die Option **Create a new role with basic Lambda permissions (Eine neue Rolle mit den grundlegenden Lambda-Berechtigungen erstellen)** aus. Diese Rolle gewährt Ihrer Lambda-Funktion die Berechtigung für den Zugriff auf die erforderlichen Daten zum Schreiben des Ausgabeprotokolls.

1. Bearbeiten Sie den Code für die Lambda-Funktion wie im folgenden Beispiel:

   ```
   console.log('Loading function');
   
   exports.handler = async (event, context) => {
       console.log('LogOrganizationsEvents');
       console.log('Received event:', JSON.stringify(event, null, 2));
       return event.key1;  // Echo back the first key value
       // throw new Error('Something went wrong');
   };
   ```

   Mit diesem Beispiel-Code wird das Ereignis mit einer **LogOrganizationEvents**-Markierungsfolge gefolgt von der JSON-Zeichenfolge protokolliert, die das Ereignis ausmacht.

1. Wählen Sie **Funktion erstellen**. 

## Schritt 3: Erstellen Sie ein Amazon-SNS-Thema, das E-Mails an Abonnenten sendet
<a name="tutorial-cwe-step3"></a>

In diesem Schritt erstellen Sie ein Amazon-SNS-Thema, das Informationen per E-Mail an Abonnenten sendet. Sie machen dieses Thema zu einem Ziel der EventBridge Amazon-Regel, die Sie später erstellen.

**So erstellen Sie ein Amazon-SNS-Thema zum Senden einer E-Mail an Abonnenten**

1. Öffnen Sie die Amazon-SNS-Konsole unter [https://console.aws.amazon.com/sns/v3/](https://console.aws.amazon.com/sns/v3/). 

1. Wählen Sie im Navigationsbereich **Topics** (Themen) aus.

1. Wählen Sie **Create new topic** (Neues Thema erstellen).

   1. Geben Sie in das Feld **Topic name (Themenname)** den Namen **OrganizationsCloudWatchTopic**.

   1. Geben Sie unter **Display name (Anzeigename)** **OrgsCWEvnt** ein.

   1. Wählen Sie **Thema erstellen** aus.

1. Jetzt können Sie einen Abonnementen für das Thema erstellen. Wählen Sie die ARN für das Thema aus, das Sie soeben erstellt haben.

1. Wählen Sie **Create subscription** (Abonnement erstellen) aus.

   1. Wählen Sie auf der Seite **Create subscription** unter **Protocol** **Email** aus.

   1. Geben Sie unter **Endpunkt** Ihre E-Mail-Adresse ein.

   1. Wählen Sie **Abonnement erstellen**. AWS sendet eine E-Mail an die E-Mail-Adresse, die Sie im vorherigen Schritt angegeben haben. Warten Sie, bis die E-Mail ankommt und wählen Sie dann den Link **Confirm subscription** darin aus, um den erfolgreichen Erhalt der E-Mail zu bestätigen.

   1. Kehren Sie zur Konsole zurück und aktualisieren Sie die Seite. Die Nachricht **Pending confirmation** wird ausgeblendet und durch die nun gültige Abonnement-ID ersetzt.

## Schritt 4: Erstellen Sie eine EventBridge Amazon-Regel
<a name="tutorial-cwe-step4"></a>

Jetzt, da die erforderliche Lambda-Funktion in Ihrem Konto vorhanden ist, erstellen Sie eine EventBridge Amazon-Regel, die sie aufruft, wenn die Kriterien in der Regel erfüllt sind.

**Um eine Regel zu erstellen EventBridge**

1. Öffnen Sie die EventBridge Amazon-Konsole unter[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/). 

1. Stellen Sie die Konsole auf die Region **USA Ost (Nord-Virginia)** ein, da sonst keine Informationen zu Organizations verfügbar sind. Wählen Sie in der Navigationsleiste in der oberen rechten Ecke der Konsole die Region **USA Ost (Nord-Virginia)** aus.

1. Anweisungen zum Erstellen von Regeln finden Sie unter [Regeln EventBridge in Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) im EventBridge Amazon-Benutzerhandbuch.

## Schritt 5: Testen Sie Ihre EventBridge Amazon-Regel
<a name="tutorial-cwe-step5"></a>

In diesem Schritt erstellen Sie eine Organisationseinheit (OU) und beachten die EventBridge Amazon-Regel, generieren einen Protokolleintrag und senden sich selbst eine E-Mail mit Einzelheiten zu dem Ereignis.

------
#### [ AWS-Managementkonsole ]

**So erstellen Sie eine OU**

1. Öffnen Sie die AWS Organizations Konsole zur [**AWS-Konten**Seite](https://console.aws.amazon.com/organizations/v2/home/accounts). 

1.  Aktivieren Sie das Kontrollkästchen ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/checkbox-selected.png) **Root**-OU, wählen Sie **Aktionen** und dann unter **Organisationseinheit** die Option **Neu erstellen**.

1. Geben Sie als Namen der Organisationseinheit **TestCWEOU** ein und wählen Sie dann **Create organizational unit (Organisationseinheit erstellen)** aus.

------

**Um den EventBridge Protokolleintrag zu sehen**

1. Öffnen Sie die CloudWatch Konsole unter[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie auf der Navigationsseite **Logs (Protokolle)**.

1. Wählen Sie unter **Protokollgruppen** die Gruppe aus, die Ihrer Lambda-Funktion zugeordnet ist:**/aws/lambda/LogOrganizationEvents**.

1. Jede Gruppe enthält mindestens einen Stream. Außerdem sollte eine Gruppe für heute vorhanden sein. Wählen Sie diesen aus.

1. Zeigen Sie das Protokoll an. Es sollten Zeilen angezeigt werden, die den folgenden ähneln:  
![\[Beispiel für ein CloudWatch Ereignisprotokoll mit den API-Aufrufdetails für Organizations\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/tutorial-sample-CWE-log.png)

1. Wählen Sie die mittlere Zeile des Eintrags aus, um den vollständigen JSON-Text des erhaltenen Ereignisses anzuzeigen. Sie können alle Details der API-Anforderung in den `requestParameters`- und `responseElements`-Teilen der Ausgabe sehen.

   ```
   2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
   {
       "version": "0",
       "id": "123456-EXAMPLE-GUID-123456",
       "detail-type": "AWS API Call via CloudTrail",
       "source": "aws.organizations",
       "account": "123456789012",
       "time": "2017-03-09T22:44:26Z",
       "region": "us-east-1",
       "resources": [],
       "detail": {
           "eventVersion": "1.04",
           "userIdentity": {
               ...
           },
           "eventTime": "2017-03-09T22:44:26Z",
           "eventSource": "organizations.amazonaws.com",
           "eventName": "CreateOrganizationalUnit",
           "awsRegion": "us-east-1",
           "sourceIPAddress": "192.168.0.1",
           "userAgent": "AWS Organizations Console, aws-internal/3",
           "requestParameters": {
               "parentId": "r-exampleRootId",
               "name": "TestCWEOU"
           },
           "responseElements": {
               "organizationalUnit": {
                   "name": "TestCWEOU",
                   "id": "ou-exampleRootId-exampleOUId",
                   "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId",
                   "path": "o-exampleOrgId/r-exampleRootId/ou-exampleRootId-exampleOUId/"
               }
           },
           "requestID": "123456-EXAMPLE-GUID-123456",
           "eventID": "123456-EXAMPLE-GUID-123456",
           "eventType": "AwsApiCall"
       }
   }
   ```

1. Suchen Sie in Ihrem E-Mail-Konto nach einer Nachricht von **Organisationen CWEvnt (**der Anzeigename Ihres Amazon SNS SNS-Themas). Der E-Mail-Text enthält den gleichen JSON-Text als Ausgabe, wie der im vorherigen Schritt gezeigte Protokolleintrag.

## Bereinigung: Entfernen der nicht mehr benötigten Ressourcen
<a name="clean-up-resources"></a>

Um Gebühren zu vermeiden, sollten Sie alle AWS Ressourcen löschen, die Sie im Rahmen dieses Tutorials erstellt haben und die Sie nicht behalten möchten.

**Um Ihre Umgebung aufzuräumen AWS**

1. Verwenden Sie die [CloudTrail Konsole](https://console.aws.amazon.com/cloudtrail/), um den Pfad mit dem Namen zu löschen**My-Test-Trail**, den Sie in Schritt 1 erstellt haben.

1. Wenn Sie in Schritt 1 einen Amazon-S3-Bucket erstellt haben, verwenden Sie zum Löschen die [Amazon-S3-Konsole](https://console.aws.amazon.com/s3/).

1. Verwenden Sie die [Lambda-Konsole unter ](https://console.aws.amazon.com/lambda/) zum Löschen der Funktion namens **LogOrganizationEvents**, die Sie in Schritt 2 erstellt haben.

1. Verwenden Sie die [Amazon-SNS-Konsole](https://console.aws.amazon.com/sns/), um das Amazon-SNS-Thema mit dem Namen **OrganizationsCloudWatchTopic** zu löschen, das Sie in Schritt 3 erstellt haben.

1. Verwenden Sie die [CloudWatch Konsole](https://console.aws.amazon.com/cloudwatch/), um die EventBridge Regel mit dem Namen zu löschen**OrgsMonitorRule**, die Sie in Schritt 4 erstellt haben.

1. Verwenden Sie abschließnd die [Organizations-Konsole](https://console.aws.amazon.com/organizations/) zum Löschen der Organisationseinheit mit dem Namen **TestCWEOU**, die Sie in Schritt 5 erstellt haben.

Das war's. In diesem Tutorial haben Sie konfiguriert, dass Ihre Organisation EventBridge auf Änderungen überwacht wird. Sie haben eine Regel konfiguriert, die ausgelöst wird, wenn Benutzer bestimmte AWS Organizations -Operationen aufrufen. Mit der Regel wurde eine Lambda-Funktion ausgeführt, die mit der das Ereignis protokolliert und eine E-Mail mit Details zum Ereignis gesendet wurde.