Requisitos previos Paso 1: Configuración de un registro de seguimiento y un selector de eventos Paso 2: Configuración de la función Lambda Paso 3: Crea un SNS tema de Amazon que envíe correos electrónicos a los suscriptores Paso 4: Crea una EventBridge regla de Amazon Paso 5: Pon a prueba tu EventBridge regla de Amazon Limpieza: Elimine los recursos que ya no necesite

Tutorial: Supervisa los cambios importantes en tu organización con Amazon EventBridge

En este tutorial se muestra cómo configurar Amazon EventBridge, anteriormente Amazon CloudWatch Events, para que supervise su organización en busca de cambios. Empiece por configurar una regla que se active cuando los usuarios invoquen una regla específica AWS Organizations operaciones. A continuación, configura Amazon EventBridge para que ejecute un AWS Lambda funcionan cuando se activa la regla y configuras Amazon SNS para que envíe un correo electrónico con detalles sobre el evento.

En la siguiente ilustración se muestran los principales pasos del tutorial.

Five-step process for creating and configuring Servicios de AWS, from trail creation to rule testing.

Paso 1: Configuración de un registro de seguimiento y un selector de eventos: Crea un registro, denominado ruta, en AWS CloudTrail. Lo configuras para capturar todas las API llamadas.
Paso 2: Configuración de la función Lambda: Crea un AWS Lambda función que registra los detalles del evento en un bucket de S3.
Paso 3: Crea un SNS tema de Amazon que envíe correos electrónicos a los suscriptores: Crea un SNS tema de Amazon que envíe correos electrónicos a sus suscriptores y, a continuación, suscríbete al tema.
Paso 4: Crea una EventBridge regla de Amazon: Cree una regla que indique EventBridge a Amazon que pase los detalles de las API llamadas especificadas a la función Lambda y a los suscriptores del SNS tema.
Paso 5: Pon a prueba tu EventBridge regla de Amazon: Ejecute una de las operaciones monitorizadas para probar la nueva regla. En este tutorial, la operación monitorizada crea una unidad organizativa (OU). Puede ver la entrada de registro que crea la función Lambda y el correo electrónico que Amazon SNS envía a los suscriptores.

Sugerencia

También puede utilizar este tutorial como guía al configurar operaciones similares como, por ejemplo, el envío de notificaciones por correo electrónico cuando se haya completado la creación de la cuenta. Dado que la creación de la cuenta es una operación asíncrona, no recibirá de forma predeterminada una notificación cuando se complete. Para obtener más información sobre el uso AWS CloudTrail y Amazon EventBridge con AWS Organizations, consulte Inicio de sesión y supervisión AWS Organizations.

Requisitos previos

Este tutorial se basa en los siguientes supuestos:

Puedes iniciar sesión en el AWS Management Console como IAM usuario de la cuenta de administración de su organización. El IAM usuario debe tener permisos para crear y configurar un inicio de sesión CloudTrail, una función en Lambda, un tema en Amazon SNS y una regla en Amazon. EventBridge Para obtener más información sobre la concesión de permisos, consulte la administración del acceso en la Guía del IAM usuario o la guía del servicio para el que desea configurar el acceso.
Tiene acceso a un depósito de Amazon Simple Storage Service (Amazon S3) existente (o tiene permisos para crear uno) para recibir CloudTrail el registro que configuró en el paso 1.

importante

En la actualidad, AWS Organizations está alojado únicamente en la región de EE. UU. Este (Virginia del Norte) (aunque está disponible en todo el mundo). Para realizar los pasos de este tutorial, debe configurar el AWS Management Console para usar esa región.

Paso 1: Configuración de un registro de seguimiento y un selector de eventos

En este paso, inicia sesión en la cuenta de administración y configura un registro (denominado ruta) en AWS CloudTrail. También configuras un selector de eventos en el registro para capturar todas las API llamadas de lectura/escritura, de modo que Amazon EventBridge tenga llamadas que activar.

Para crear un registro de seguimiento

Inicia sesión en AWS como administrador de la cuenta de administración de la organización y, a continuación, abra la CloudTrail consola enhttps://console.aws.amazon.com/cloudtrail/.
En la barra de navegación de la esquina superior derecha de la consola, elija la región EE. UU. Este (Norte de Virginia). Si eliges una región diferente, AWS Organizations no aparece como una opción en los ajustes de EventBridge configuración de Amazon y CloudTrail no captura información sobre AWS Organizations.
En el panel de navegación, seleccione Trails.
Elija Create Trail (Crear registro de seguimiento).
En Trail name (Nombre del registro de seguimiento), escriba My-Test-Trail.
Realice una de las siguientes opciones para especificar dónde CloudTrail debe entregar sus registros:
- Si necesita crear un bucket, seleccione Create new S3 bucket (Crear nuevo bucket de S3) y, a continuación, introduzca un nombre para el nuevo bucket y la carpeta de registro de seguimiento.
  
  nota
  Los nombres de los buckets de S3 deben ser únicos de forma global.
- Si ya dispone de un bucket, seleccione Use existing S3 bucket (Usar bucket S3 existente) y, a continuación, elija el nombre del bucket en la lista de buckets S3.
Elija Next (Siguiente).
En la página Elegir eventos de registro, en la sección Eventos de administración, elija Read (Lectura) y Write (Escritura).
Elija Next (Siguiente).
Revise las selecciones y elija Create trail (Crear ruta).

Amazon te EventBridge permite elegir entre varias formas diferentes de enviar alertas cuando una regla de alarma coincide con una API llamada entrante. En este tutorial se muestran dos métodos: invocar una función Lambda que puede registrar API la llamada y enviar información a un tema de SNS Amazon que envía un correo electrónico o un mensaje de texto a los suscriptores del tema. En los dos pasos siguientes, creará los componentes que necesita: la función Lambda y el tema AmazonSNS.

Paso 2: Configuración de la función Lambda

En este paso, crea una función Lambda que registra la API actividad que le envía la EventBridge regla de Amazon que configure más adelante.

Para crear una función Lambda que registre los eventos de Amazon EventBridge

Abra el icono AWS Lambda consola en. https://console.aws.amazon.com/lambda/
Si es nuevo en Lambda, elija Get Started Now (Comenzar ahora) en la página de bienvenida; de lo contrario, elija Create a function (Crear una función).
En la página Create function (Crear función), seleccione Use a blueprint (Utilizar un proyecto).
En el cuadro de búsqueda Blueprints (Proyectos), escriba hello para el filtro y elija el proyecto hello-world.
Elija Configurar.
En la página Basic information (Información básica), haga lo siguiente:
1. Para el nombre de la función Lambda, ingrese LogOrganizationEvents en el cuadro desde el cuadro de texto Name (Nombre).
2. Para Role (Rol), elija Create a new role with basic Lambda permissions (Crear un nuevo rol con permisos básicos de Lambda) Este rol concede a la función Lambda permisos para obtener acceso a los datos que requiere y para escribir en su registro de salida.

Edite el código de la función de Lambda tal y como se muestra en el siguiente ejemplo.


console.log('Loading function');

exports.handler = async (event, context) => {
    console.log('LogOrganizationsEvents');
    console.log('Received event:', JSON.stringify(event, null, 2));
    return event.key1;  // Echo back the first key value
    // throw new Error('Something went wrong');
};

Este código de ejemplo registra el evento con una cadena LogOrganizationEvents marcadora seguida de la JSON cadena que compone el evento.

Seleccione Crear función.

Paso 3: Crea un SNS tema de Amazon que envíe correos electrónicos a los suscriptores

En este paso, crearás un SNS tema de Amazon que envíe información por correo electrónico a sus suscriptores. Convierte este tema en el objetivo de la EventBridge regla de Amazon que cree más adelante.

Para crear un SNS tema de Amazon para enviar un correo electrónico a los suscriptores

Abre la SNS consola de Amazon enhttps://console.aws.amazon.com/sns/v3/.
En el panel de navegación, elija Topics (Temas).
Elija Create new topic (Crear nuevo tema).
1. En Topic name (Nombre del tema), escriba OrganizationsCloudWatchTopic.
2. En Display name (Nombre visible), escriba OrgsCWEvnt.
3. Elija Crear nuevo tema.
Ahora puede crear una suscripción para el tema. Elige la ARN para el tema que acabas de crear.
Elija Crear una suscripción.
1. En la página Create subscription, para Protocol, elija Email.
2. Para punto de conexión, introduzca su dirección de correo electrónico.
3. Elija Crear una suscripción. AWS envía un correo electrónico a la dirección de correo electrónico que especificó en el paso anterior. Espere a recibir ese correo electrónico y, a continuación, elija el enlace Confirm subscription que contiene para confirmar que lo ha recibido correctamente.
4. Vuelva a la consola y actualice la página. El mensaje Pending confirmation desaparece y se sustituye por el ID de suscripción que ha quedado validado.

Paso 4: Crea una EventBridge regla de Amazon

Ahora que la función Lambda requerida existe en su cuenta, crea una EventBridge regla de Amazon que la invoca cuando se cumplen los criterios de la regla.

Para crear una regla EventBridge

Abre la EventBridge consola de Amazon enhttps://console.aws.amazon.com/events/.
Debe configurar la consola en la región de Este de EE. UU. (Norte de Virginia) o la información acerca de Organizations no estará disponible. En la barra de navegación de la esquina superior derecha de la consola, elija la región EE. UU. Este (Norte de Virginia).
Para obtener instrucciones sobre cómo crear reglas, consulta Cómo empezar con Amazon EventBridge en la guía del EventBridge usuario de Amazon.

Paso 5: Pon a prueba tu EventBridge regla de Amazon

En este paso, creas una unidad organizativa (OU) y observas la EventBridge regla de Amazon, generas una entrada de registro y te envías un correo electrónico con los detalles del evento.

Para ver la entrada de EventBridge registro

Abra la CloudWatch consola enhttps://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Registros.
En Grupos de registros, elija el grupo que está asociado a la función Lambda: /aws/lambda/. LogOrganizationEvents
Cada grupo contiene uno o más flujos; debería haber un grupo para hoy. Elíjalo.
Consulte el registro. Deben aparecer filas similares a las siguientes.

Seleccione la fila central de la entrada para ver el texto completo del evento recibido. JSON Puedes ver todos los detalles de la API solicitud en las responseElements partes requestParameters y partes del resultado.


2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
{
    "version": "0",
    "id": "123456-EXAMPLE-GUID-123456",
    "detail-type": "AWS API Call via CloudTrail",
    "source": "aws.organizations",
    "account": "123456789012",
    "time": "2017-03-09T22:44:26Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "eventVersion": "1.04",
        "userIdentity": {
            ...
        },
        "eventTime": "2017-03-09T22:44:26Z",
        "eventSource": "organizations.amazonaws.com",
        "eventName": "CreateOrganizationalUnit",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "192.168.0.1",
        "userAgent": "AWS Organizations Console, aws-internal/3",
        "requestParameters": {
            "parentId": "r-exampleRootId",
            "name": "TestCWEOU"
        },
        "responseElements": {
            "organizationalUnit": {
                "name": "TestCWEOU",
                "id": "ou-exampleRootId-exampleOUId",
                "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId"
            }
        },
        "requestID": "123456-EXAMPLE-GUID-123456",
        "eventID": "123456-EXAMPLE-GUID-123456",
        "eventType": "AwsApiCall"
    }
}

Comprueba en tu cuenta de correo electrónico un mensaje de O rgsCWEvnt (el nombre visible de tu SNS tema de Amazon). El cuerpo del correo electrónico contiene el mismo JSON texto de salida que la entrada de registro que se muestra en el paso anterior.

Limpieza: Elimine los recursos que ya no necesite

Para evitar incurrir en cargos, debe eliminar cualquier AWS recursos que creó como parte de este tutorial y que no desea conservar.

Para limpiar tu AWS environment

Usa la CloudTrail consola para eliminar la ruta con el nombre My-Test-Trail que creaste en el paso 1.
Si ha creado un bucket de Amazon S3 en el paso 1, utilice la consola de Amazon S3 para eliminarlo.
Utilice la consola de Lambda para eliminar la función denominada LogOrganizationEvents que se creó en el paso 2.
Usa la SNSconsola de Amazon para eliminar el SNS tema de Amazon con el nombre OrganizationsCloudWatchTopic que creaste en el paso 3.
Usa la CloudWatch consola para eliminar el nombre de la EventBridge regla OrgsMonitorRule que creaste en el paso 4.
Finalmente, utilice la consola de Organizations para eliminar la OU denominada TestCWEOU que creó en el paso 5.

Y ya está. En este tutorial, configuró EventBridge para supervisar su organización en busca de cambios. Has configurado una regla que se activa cuando los usuarios invocan una regla específica AWS Organizations operaciones. La regla ha ejecutado una función Lambda que registró el evento y envió un correo electrónico que contenía información acerca de dicho evento.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Tutorial: Creación y configuración de una organización

Trabajando con AWS SDKs