Tutoriel : Surveillez les modifications importantes apportées à votre organisation avec Amazon EventBridge - AWS Organizations
PrérequisÉtape 1 : Configuration d'un journal d'activité et d'un sélecteur d'événementsÉtape 2 : Configuration d'une fonction Lambda Étape 3 : créer un SNS sujet Amazon qui envoie des e-mails aux abonnésÉtape 4 : créer une EventBridge règle AmazonÉtape 5 : testez votre EventBridge règle AmazonNettoyage : supprimer les ressources devenues inutiles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Surveillez les modifications importantes apportées à votre organisation avec Amazon EventBridge

Ce didacticiel explique comment configurer Amazon EventBridge, anciennement Amazon CloudWatch Events, pour surveiller les modifications apportées par votre organisation. Vous commencez par configurer une règle qui est déclenchée lorsque les utilisateurs invoquent une règle spécifique AWS Organizations opérations. Ensuite, vous configurez Amazon EventBridge pour exécuter un AWS Lambda fonctionne lorsque la règle est déclenchée et que vous configurez Amazon SNS pour envoyer un e-mail contenant des détails sur l'événement.

L'illustration suivante montre les principales étapes du didacticiel.

Five-step process for creating and configuring Services AWS, from trail creation to rule testing.

Étape 1 : Configuration d'un journal d'activité et d'un sélecteur d'événements

Créez un journal, appelé sentier, dans AWS CloudTrail. Vous le configurez pour capturer tous les API appels.

Étape 2 : Configuration d'une fonction Lambda

Créez un AWS Lambda fonction qui enregistre les détails de l'événement dans un compartiment S3.

Étape 3 : créer un SNS sujet Amazon qui envoie des e-mails aux abonnés

Créez un SNS sujet Amazon qui envoie des e-mails à ses abonnés, puis abonnez-vous au sujet.

Étape 4 : créer une EventBridge règle Amazon

Créez une règle qui indique EventBridge à Amazon de transmettre les détails des API appels spécifiés à la fonction Lambda et aux abonnés à la SNS rubrique.

Étape 5 : testez votre EventBridge règle Amazon

Testez votre nouvelle règle en exécutant l'une des opérations surveillées. Dans ce didacticiel, l'opération surveillée est la création d'une unité d'organisation (UO). Vous consultez l'entrée de journal créée par la fonction Lambda, ainsi que l'e-mail envoyé par Amazon aux SNS abonnés.

Conseil

Vous pouvez également utiliser ce didacticiel comme guide pour configurer des opérations similaires, telles que l'envoi de notifications par e-mail une fois la création du compte terminée. Comme la création du compte est une opération asynchrone, vous n'êtes pas informé par défaut lorsqu'elle se termine. Pour plus d'informations sur l'utilisation AWS CloudTrail et Amazon EventBridge avec AWS Organizations, voir Connexion et surveillance AWS Organizations.

Prérequis

Ce didacticiel suppose ce qui suit :

  • Vous pouvez vous connecter au AWS Management Console en tant qu'IAMutilisateur depuis le compte de gestion de votre organisation. L'IAMutilisateur doit être autorisé à créer et à configurer un identifiant CloudTrail, une fonction dans Lambda, un sujet dans Amazon SNS et une règle dans Amazon. EventBridge Pour plus d'informations sur l'octroi d'autorisations, consultez la section Gestion des accès dans le guide de l'IAMutilisateur ou le guide du service pour lequel vous souhaitez configurer l'accès.

  • Vous avez accès à un compartiment Amazon Simple Storage Service (Amazon S3) existant (ou vous êtes autorisé à créer un compartiment) pour recevoir CloudTrail le journal que vous avez configuré à l'étape 1.

Important

Actuellement, AWS Organizations est hébergé uniquement dans la région de l'est des États-Unis (Virginie du Nord) (même s'il est disponible dans le monde entier). Pour effectuer les étapes de ce didacticiel, vous devez configurer le AWS Management Console pour utiliser cette région.

Étape 1 : Configuration d'un journal d'activité et d'un sélecteur d'événements

Au cours de cette étape, vous vous connectez au compte de gestion et configurez un journal (appelé journal) dans AWS CloudTrail. Vous configurez également un sélecteur d'événements sur le parcours pour capturer tous les API appels en lecture/écriture afin qu'Amazon EventBridge ait des appels à déclencher.

Pour créer un journal de suivi

  1. Connectez-vous à AWS en tant qu'administrateur du compte de gestion de l'organisation, puis ouvrez la CloudTrail console à l'adressehttps://console.aws.amazon.com/cloudtrail/.

  2. Sur la barre de navigation dans le coin supérieur droit de la console, choisissez la région USA Est (Virginie du Nord). Si vous choisissez une autre région, AWS Organizations n'apparaît pas en tant qu'option dans les paramètres EventBridge de configuration d'Amazon et CloudTrail ne capture pas d'informations sur AWS Organizations.

  3. Dans le panneau de navigation, choisissez Journaux d'activité.

  4. Choisissez Créer un journal d'activité).

  5. Pour Nom du journal d'activité, saisissez My-Test-Trail.

  6. Exécutez l'une des options suivantes pour spécifier où CloudTrail doit être livré ses journaux :

    • Si vous devez créer un compartiment, choisissez Create new S3 bucket (Créer un compartiment S3), puis, pour Trail log bucket and folder (Compartiment et dossier des journaux de suivi), saisissez le nom du nouveau compartiment.

      Note

      Les noms de compartiment S3 doivent être globalement uniques.

    • Si vous disposez déjà d'un compartiment, choisissez Use existing S3 bucket (Utiliser un compartiment S3 existant), puis choisissez le nom du compartiment dans la liste de compartiments S3.

  7. Choisissez Suivant.

  8. Sur la page Choisir les événements du journal, dans la section Événements de gestion, choisissez Read (Lire) et Write (Écrire).

  9. Choisissez Suivant.

  10. Passez en revue vos sélections, puis choisissez Create trail (Créer un journal d'activité).

Amazon vous EventBridge permet de choisir entre plusieurs méthodes différentes pour envoyer des alertes lorsqu'une règle d'alarme correspond à un API appel entrant. Ce didacticiel présente deux méthodes : appeler une fonction Lambda capable de consigner API l'appel et envoyer des informations à une rubrique SNS Amazon qui envoie un e-mail ou un SMS aux abonnés de la rubrique. Au cours des deux étapes suivantes, vous allez créer les composants dont vous avez besoin : la fonction Lambda et la rubrique AmazonSNS.

Étape 2 : Configuration d'une fonction Lambda

Au cours de cette étape, vous créez une fonction Lambda qui enregistre l'APIactivité qui lui est envoyée par la EventBridge règle Amazon que vous configurez ultérieurement.

Pour créer une fonction Lambda qui enregistre les événements Amazon EventBridge

  1. Ouvrez le fichier AWS Lambda console àhttps://console.aws.amazon.com/lambda/.

  2. Si vous débutez avec Lambda, choisissez Get Started Now (Démarrez maintenant) sur la page d'accueil ; sinon choisissez Create function (Créer une fonction).

  3. Sur la page Créer une fonction, choisissez Use a blueprint (Utiliser un plan).

  4. Dans la zone de recherche Blueprints (Plans), saisissez hello comme filtre et choisissez le plan hello-world.

  5. Choisissez Configure (Configurer).

  6. Sur la page Basic information (Informations de base), effectuez les opérations suivantes :

    1. Pour le nom de la fonction Lambda, saisissez LogOrganizationEvents dans la zone de texte Name (Nom).

    2. Pour Role (Rôle), choisissez Create a new role with basic Lambda permissions (Créer un nouveau rôle avec les autorisations Lambda de base). Ce rôle accorde à votre fonction Lambda les autorisations nécessaires pour accéder aux données dont celle-ci a besoin et pour écrire son journal de sortie.

  7. Modifiez le code pour la fonction Lambda, comme illustré dans l'exemple suivant.

    console.log('Loading function');

exports.handler = async (event, context) => {
    console.log('LogOrganizationsEvents');
    console.log('Received event:', JSON.stringify(event, null, 2));
    return event.key1;  // Echo back the first key value
    // throw new Error('Something went wrong');
};

    Cet exemple de code enregistre l'événement avec une chaîne de LogOrganizationEvents marqueur suivie de la JSON chaîne qui le compose.

  8. Sélectionnez Create function (Créer une fonction).

Étape 3 : créer un SNS sujet Amazon qui envoie des e-mails aux abonnés

Au cours de cette étape, vous créez un SNS sujet Amazon qui envoie des informations par e-mail à ses abonnés. Vous faites de cette rubrique une cible de la EventBridge règle Amazon que vous créerez ultérieurement.

Pour créer un SNS sujet Amazon afin d'envoyer un e-mail aux abonnés

  1. Ouvrez la SNS console Amazon à l'adressehttps://console.aws.amazon.com/sns/v3/.

  2. Dans le panneau de navigation, choisissez Topics (Rubriques).

  3. Choisissez Create new topic (Créer une rubrique).

    1. Pour Topic name (Nom de la rubrique), saisissez OrganizationsCloudWatchTopic.

    2. Pour Display name (Nom complet), saisissez OrgsCWEvnt.

    3. Choisissez Create topic (Créer la rubrique).

  4. Vous pouvez désormais créer un abonnement pour la rubrique. Choisissez ARN le sujet que vous venez de créer.

  5. Choisissez Create subscription (Créer un abonnement).

    1. Sur la page Create Subscription, pour Protocol (Protocole), choisissez Email (E-mail).

    2. Saisissez votre adresse e-mail dans Endpoint (Point de terminaison).

    3. Choisissez Create subscription (Créer un abonnement). AWS envoie un e-mail à l'adresse e-mail que vous avez spécifiée à l'étape précédente. Attendez que l'e-mail arrive, puis choisissez le lien Confirm subscription (Confirmer l'abonnement) contenu dans l'e-mail pour confirmer que vous avez bien reçu l'e-mail.

    4. Revenez dans la console et actualisez la page. Le message Pending confirmation (En attente de confirmation) disparaît et est remplacé par l'ID d'abonnement désormais valide.

Étape 4 : créer une EventBridge règle Amazon

Maintenant que la fonction Lambda requise existe dans votre compte, vous créez une EventBridge règle Amazon qui l'invoque lorsque les critères de la règle sont remplis.

Pour créer une EventBridge règle

  1. Ouvrez la EventBridge console Amazon à l'adressehttps://console.aws.amazon.com/events/.

  2. Définissez la console sur la région USA Est (Virginie du Nord), faute de quoi les informations sur Organizations ne sont pas disponibles. Sur la barre de navigation dans le coin supérieur droit de la console, choisissez la région USA Est (Virginie du Nord).

  3. Pour obtenir des instructions sur la création de règles, consultez Getting started with Amazon EventBridge dans le guide de EventBridge l'utilisateur Amazon.

Étape 5 : testez votre EventBridge règle Amazon

Au cours de cette étape, vous créez une unité organisationnelle (UO), vous respectez la EventBridge règle Amazon, vous générez une entrée dans le journal et vous vous envoyez un e-mail contenant des informations sur l'événement.

AWS Management Console
Pour créer une unité d'organisation

  1. Ouvrez le fichier AWS Organizations console vers le Comptes AWSpage.

  2. Cochez la case Blue checkmark icon indicating confirmation or completion of a task. Root OU (UO Racine), choisissez Actions, puis sous Unité d'organisation, choisissez Create new (Créer une nouvelle).

  3. Pour le nom de l'unité d'organisation, saisissez TestCWEOU, puis choisissez Create organizational unit (Créer l'unité d'organisation).
Pour voir l'entrée du EventBridge journal

  1. Ouvrez la CloudWatch console à l'adressehttps://console.aws.amazon.com/cloudwatch/.

  2. Dans la page de navigation, choisissez Logs (Journaux).

  3. Sous Log Groups, choisissez le groupe associé à votre fonction Lambda : /aws/lambda/. LogOrganizationEvents

  4. Chaque groupe contient un ou plusieurs flux, et il devrait y avoir un groupe pour aujourd'hui. Choisissez-le.

  5. Affichez le journal. Vous devriez voir des lignes similaires aux suivantes.

    Log entries showing event reception with timestamp, version, and ID details.

  6. Sélectionnez la ligne du milieu de l'entrée pour voir le JSON texte intégral de l'événement reçu. Vous pouvez voir tous les détails de la API demande dans les responseElements parties requestParameters et de la sortie.

    2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
{
    "version": "0",
    "id": "123456-EXAMPLE-GUID-123456",
    "detail-type": "AWS API Call via CloudTrail",
    "source": "aws.organizations",
    "account": "123456789012",
    "time": "2017-03-09T22:44:26Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "eventVersion": "1.04",
        "userIdentity": {
            ...
        },
        "eventTime": "2017-03-09T22:44:26Z",
        "eventSource": "organizations.amazonaws.com",
        "eventName": "CreateOrganizationalUnit",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "192.168.0.1",
        "userAgent": "AWS Organizations Console, aws-internal/3",
        "requestParameters": {
            "parentId": "r-exampleRootId",
            "name": "TestCWEOU"
        },
        "responseElements": {
            "organizationalUnit": {
                "name": "TestCWEOU",
                "id": "ou-exampleRootId-exampleOUId",
                "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId"
            }
        },
        "requestID": "123456-EXAMPLE-GUID-123456",
        "eventID": "123456-EXAMPLE-GUID-123456",
        "eventType": "AwsApiCall"
    }
}

  7. Vérifiez si votre compte e-mail contient un message provenant de O rgsCWEvnt (le nom d'affichage de votre SNS rubrique Amazon). Le corps de l'e-mail contient le même JSON texte de sortie que l'entrée du journal affichée à l'étape précédente.

Nettoyage : supprimer les ressources devenues inutiles

Pour éviter d'encourir des frais, vous devez supprimer tout AWS les ressources que vous avez créées dans le cadre de ce didacticiel et que vous ne souhaitez pas conserver.

Pour nettoyer votre AWS environment

  1. Utilisez la CloudTrail console pour supprimer le parcours nommé My-Test-Trail que vous avez créé à l'étape 1.

  2. Si vous avez créé un compartiment Amazon S3 à l'étape 1, utilisez la console Amazon S3 pour le supprimer.

  3. Utilisez la console Lambda pour supprimer la fonction nommée LogOrganizationEvents que vous avez créée à l'étape 2.

  4. Utilisez la SNSconsole Amazon pour supprimer le SNS sujet Amazon nommé OrganizationsCloudWatchTopic que vous avez créé à l'étape 3.

  5. Utilisez la CloudWatch console pour supprimer la EventBridge règle nommée OrgsMonitorRule que vous avez créée à l'étape 4.

  6. Enfin, utilisez la console Organizations pour supprimer l'unité d'organisation nommée TestCWEOU que vous avez créée à l'étape 5.

Vous avez terminé. Dans ce didacticiel, vous avez EventBridge configuré votre organisation pour surveiller les modifications. Vous avez configuré une règle qui est déclenchée lorsque les utilisateurs invoquent une règle spécifique AWS Organizations opérations. La règle exécutait une fonction Lambda qui consignait l'événement et envoyait un e-mail contenant des détails sur l'événement.