Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Tutoriel : Surveillez les modifications importantes apportées à votre organisation avec Amazon EventBridge
<a name="orgs_tutorials_cwe"></a>

Ce didacticiel explique comment configurer Amazon EventBridge, anciennement Amazon CloudWatch Events, pour surveiller les modifications apportées par votre organisation. Vous commencez par configurer une règle qui est déclenchée lorsque des utilisateurs appellent des opérations AWS Organizations spécifiques. Ensuite, vous configurez Amazon EventBridge pour exécuter une AWS Lambda fonction lorsque la règle est déclenchée, et vous configurez Amazon SNS pour envoyer un e-mail contenant des détails sur l'événement. 

L'illustration suivante montre les principales étapes du didacticiel.

**[Étape 1 : Configuration d'un journal d'activité et d'un sélecteur d'événements](#tutorial-cwe-step1)**  
Créez un journal, appelé *sentier*, dans AWS CloudTrail. Vous le configurez pour capturer tous les appels d'API.

**[Étape 2 : Configuration d'une fonction Lambda](#tutorial-cwe-step2)**  
Créez une AWS Lambda fonction qui enregistre les détails de l'événement dans un compartiment S3.

**[Étape 3 : Création d'une rubrique Amazon SNS qui envoie des e-mails aux abonnés](#tutorial-cwe-step3)**  
Créez une rubrique Amazon SNS qui envoie des e-mails à ses abonnés, puis abonnez-vous vous-même à la rubrique.

**[Étape 4 : créer une EventBridge règle Amazon](#tutorial-cwe-step4)**  
Créez une règle qui indique EventBridge à Amazon de transmettre les détails des appels d'API spécifiés à la fonction Lambda et aux abonnés aux rubriques SNS.

**[Étape 5 : testez votre EventBridge règle Amazon](#tutorial-cwe-step5)**  
Testez votre nouvelle règle en exécutant l'une des opérations surveillées. Dans ce didacticiel, l'opération surveillée est la création d'une unité d'organisation (UO). Vous affichez l'entrée de journal créée par la fonction Lambda et vous consultez l'e-mail qu'Amazon SNS envoie aux abonnés.

**Conseil**  
Vous pouvez également utiliser ce didacticiel comme guide pour configurer des opérations similaires, telles que l'envoi de notifications par e-mail une fois la création du compte terminée. Comme la création du compte est une opération asynchrone, vous n'êtes pas informé par défaut lorsqu'elle se termine. Pour plus d'informations sur l'utilisation AWS CloudTrail et Amazon EventBridge avec AWS Organizations, consultez[Connexion et surveillance AWS Organizations](orgs_security_incident-response.md).

## Conditions préalables
<a name="tutorial-cwe-prereqs"></a>

Ce didacticiel suppose ce qui suit :
+ Vous pouvez vous connecter en AWS Management Console tant qu'utilisateur IAM depuis le compte de gestion de votre organisation. L'utilisateur IAM doit être autorisé à créer et à configurer une connexion CloudTrail, une fonction dans Lambda, une rubrique dans Amazon SNS et une règle dans Amazon. EventBridge Pour plus d'informations sur l'octroi d'autorisations, consultez [Gestion des accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM* ou dans le guide du service pour lequel vous souhaitez configurer l'accès.
+ Vous avez accès à un compartiment Amazon Simple Storage Service (Amazon S3) existant (ou vous êtes autorisé à créer un compartiment) pour recevoir CloudTrail le journal que vous avez configuré à l'étape 1.

**Important**  
Actuellement, AWS Organizations il est hébergé uniquement dans la région de l'est des États-Unis (Virginie du Nord) (même s'il est disponible dans le monde entier). Pour effectuer les étapes de ce didacticiel, vous devez configurer le AWS Management Console pour utiliser cette région. 

## Étape 1 : Configuration d'un journal d'activité et d'un sélecteur d'événements
<a name="tutorial-cwe-step1"></a>

Au cours de cette étape, vous vous connectez au compte de gestion et vous configurez un journal (appelé *journal d'activité*) dans AWS CloudTrail. Vous configurez également un sélecteur d'événements sur le parcours pour capturer tous les appels d' read/write API afin qu'Amazon EventBridge ait des appels à déclencher.

**Pour créer un journal de suivi**

1. Connectez-vous en AWS tant qu'administrateur du compte de gestion de l'organisation, puis ouvrez la CloudTrail console à l'adresse[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Sur la barre de navigation dans le coin supérieur droit de la console, choisissez la région **USA Est (Virginie du Nord)**. Si vous choisissez une autre région, AWS Organizations elle n'apparaît pas comme une option dans les paramètres de EventBridge configuration d'Amazon et CloudTrail ne capture aucune information à ce sujet AWS Organizations.

1. Dans le panneau de navigation, choisissez **Journaux d'activité**.

1. Choisissez **Créer un journal d'activité)**.

1. Pour **Nom du journal d'activité**, saisissez **My-Test-Trail**. 

1. Exécutez l'une des options suivantes pour spécifier où CloudTrail doit être livré ses journaux :
   + Si vous devez créer un compartiment, choisissez **Create new S3 bucket** (Créer un compartiment S3), puis, pour **Trail log bucket and folder** (Compartiment et dossier des journaux de suivi), saisissez le nom du nouveau compartiment.
**Note**  
Les noms de compartiment S3 doivent être ***globalement*** uniques.
   + Si vous disposez déjà d'un compartiment, choisissez **Use existing S3 bucket** (Utiliser un compartiment S3 existant), puis choisissez le nom du compartiment dans la liste de **compartiments S3**.

1. Choisissez **Suivant**.

1. Sur la page **Choisir les événements du journal**, dans la section **Événements de gestion**, choisissez **Read** (Lire) et **Write** (Écrire).

1. Choisissez **Suivant**.

1. Passez en revue vos sélections, puis choisissez **Create trail** (Créer un journal d'activité).

Amazon vous EventBridge permet de choisir entre plusieurs méthodes différentes pour envoyer des alertes lorsqu'une règle d'alarme correspond à un appel d'API entrant. Ce didacticiel explique deux méthodes : l'appel d'une fonction Lambda qui peut consigner l'appel d'API, et l'envoi d'informations vers une rubrique Amazon SNS qui envoie un e-mail ou un SMS aux abonnés de la rubrique. Dans les deux prochaines étapes, vous allez créer les composants dont vous avez besoin : la fonction Lambda et la rubrique Amazon SNS.

## Étape 2 : Configuration d'une fonction Lambda
<a name="tutorial-cwe-step2"></a>

Au cours de cette étape, vous créez une fonction Lambda qui enregistre l'activité de l'API qui lui est envoyée par la EventBridge règle Amazon que vous configurez ultérieurement.

**Pour créer une fonction Lambda qui enregistre les événements Amazon EventBridge**

1. Ouvrez la AWS Lambda console à l'adresse[https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).

1. Si vous débutez avec Lambda, choisissez **Get Started Now** (Démarrez maintenant) sur la page d'accueil ; sinon choisissez **Create function** (Créer une fonction).

1. Sur la page **Créer une fonction**, choisissez **Use a blueprint (Utiliser un plan)**.

1. Dans la zone de recherche **Blueprints (Plans)**, saisissez **hello** comme filtre et choisissez le plan **hello-world**.

1. Choisissez **Configure (Configurer)**.

1. Sur la page **Basic information (Informations de base)**, effectuez les opérations suivantes :

   1. Pour le nom de la fonction Lambda, saisissez **LogOrganizationEvents** dans la zone de texte **Name (Nom)**. 

   1. Pour **Role** (Rôle), choisissez **Create a new role with basic Lambda permissions** (Créer un nouveau rôle avec les autorisations Lambda de base). Ce rôle accorde à votre fonction Lambda les autorisations nécessaires pour accéder aux données dont celle-ci a besoin et pour écrire son journal de sortie.

1. Modifiez le code pour la fonction Lambda, comme illustré dans l'exemple suivant.

   ```
   console.log('Loading function');
   
   exports.handler = async (event, context) => {
       console.log('LogOrganizationsEvents');
       console.log('Received event:', JSON.stringify(event, null, 2));
       return event.key1;  // Echo back the first key value
       // throw new Error('Something went wrong');
   };
   ```

   Cet exemple de code consigne l'événement avec une chaîne de marqueur **LogOrganizationEvents**, suivie de la chaîne JSON qui constitue l'événement.

1. Choisissez **Créer une fonction**. 

## Étape 3 : Création d'une rubrique Amazon SNS qui envoie des e-mails aux abonnés
<a name="tutorial-cwe-step3"></a>

Au cours de cette étape, vous allez créer une rubrique Amazon SNS qui envoie des informations à ses abonnés. Vous faites de cette rubrique une cible de la EventBridge règle Amazon que vous créerez ultérieurement.

**Pour créer une rubrique Amazon SNS afin d'envoyer un e-mail aux abonnés**

1. Ouvrez la console Amazon SNS à l'adresse [https://console.aws.amazon.com/sns/v3/](https://console.aws.amazon.com/sns/v3/). 

1. Dans le panneau de navigation, choisissez **Topics (Rubriques)**.

1. Choisissez **Create new topic (Créer une rubrique)**.

   1. Pour **Topic name (Nom de la rubrique)**, saisissez **OrganizationsCloudWatchTopic**.

   1. Pour **Display name (Nom complet)**, saisissez **OrgsCWEvnt**.

   1. Choisissez **Create topic (Créer la rubrique)**.

1. Vous pouvez désormais créer un abonnement pour la rubrique. Choisissez l'ARN de la rubrique que vous venez de créer.

1. Choisissez **Create subscription (Créer un abonnement)**.

   1. Sur la page **Create Subscription**, pour **Protocol (Protocole)**, choisissez **Email (E-mail)**.

   1. Saisissez votre adresse e-mail dans **Endpoint (Point de terminaison)**.

   1. Choisissez **Créer un abonnement**. AWS envoie un e-mail à l'adresse e-mail que vous avez spécifiée à l'étape précédente. Attendez que l'e-mail arrive, puis choisissez le lien **Confirm subscription (Confirmer l'abonnement)** contenu dans l'e-mail pour confirmer que vous avez bien reçu l'e-mail.

   1. Revenez dans la console et actualisez la page. Le message **Pending confirmation (En attente de confirmation)** disparaît et est remplacé par l'ID d'abonnement désormais valide.

## Étape 4 : créer une EventBridge règle Amazon
<a name="tutorial-cwe-step4"></a>

Maintenant que la fonction Lambda requise existe dans votre compte, vous créez une EventBridge règle Amazon qui l'invoque lorsque les critères de la règle sont remplis.

**Pour créer une EventBridge règle**

1. Ouvrez la EventBridge console Amazon à l'adresse[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/). 

1. Définissez la console sur la région **USA Est (Virginie du Nord)**, faute de quoi les informations sur Organizations ne sont pas disponibles. Sur la barre de navigation dans le coin supérieur droit de la console, choisissez la région **USA Est (Virginie du Nord)**.

1. Pour obtenir des instructions sur la création de règles, consultez la section [Règles d'Amazon EventBridge dans](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) le guide de EventBridge l'utilisateur Amazon.

## Étape 5 : testez votre EventBridge règle Amazon
<a name="tutorial-cwe-step5"></a>

Au cours de cette étape, vous créez une unité organisationnelle (UO), vous respectez la EventBridge règle Amazon, vous générez une entrée dans le journal et vous vous envoyez un e-mail contenant des informations sur l'événement.

------
#### [ AWS Management Console ]

**Pour créer une unité d'organisation**

1. Ouvrez la AWS Organizations console sur la [**Comptes AWS**page](https://console.aws.amazon.com/organizations/v2/home/accounts). 

1.  Cochez la case ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/checkbox-selected.png) **Root OU (UO Racine)**, choisissez **Actions**, puis sous **Unité d'organisation**, choisissez **Create new (Créer une nouvelle)**.

1. Pour le nom de l'unité d'organisation, saisissez **TestCWEOU**, puis choisissez **Create organizational unit (Créer l'unité d'organisation)**.

------

**Pour voir l'entrée du EventBridge journal**

1. Ouvrez la CloudWatch console à l'adresse[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans la page de navigation, choisissez **Logs (Journaux)**.

1. **Sous **Log Groups**, choisissez le groupe associé à votre fonction Lambda :/. aws/lambda/LogOrganizationEvents**

1. Chaque groupe contient un ou plusieurs flux, et il devrait y avoir un groupe pour aujourd'hui. Choisissez-le.

1. Affichez le journal. Vous devriez voir des lignes similaires aux suivantes.  
![\[Exemple de journal CloudWatch des événements affichant les détails des appels d'API des Organisations\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/tutorial-sample-CWE-log.png)

1. Sélectionnez la ligne du milieu de l'entrée pour voir l'intégralité du texte JSON de l'événement reçu. Vous pouvez voir tous les détails de la demande d'API dans les éléments `requestParameters` et `responseElements` de la sortie.

   ```
   2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
   {
       "version": "0",
       "id": "123456-EXAMPLE-GUID-123456",
       "detail-type": "AWS API Call via CloudTrail",
       "source": "aws.organizations",
       "account": "123456789012",
       "time": "2017-03-09T22:44:26Z",
       "region": "us-east-1",
       "resources": [],
       "detail": {
           "eventVersion": "1.04",
           "userIdentity": {
               ...
           },
           "eventTime": "2017-03-09T22:44:26Z",
           "eventSource": "organizations.amazonaws.com",
           "eventName": "CreateOrganizationalUnit",
           "awsRegion": "us-east-1",
           "sourceIPAddress": "192.168.0.1",
           "userAgent": "AWS Organizations Console, aws-internal/3",
           "requestParameters": {
               "parentId": "r-exampleRootId",
               "name": "TestCWEOU"
           },
           "responseElements": {
               "organizationalUnit": {
                   "name": "TestCWEOU",
                   "id": "ou-exampleRootId-exampleOUId",
                   "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId",
                   "path": "o-exampleOrgId/r-exampleRootId/ou-exampleRootId-exampleOUId/"
               }
           },
           "requestID": "123456-EXAMPLE-GUID-123456",
           "eventID": "123456-EXAMPLE-GUID-123456",
           "eventType": "AwsApiCall"
       }
   }
   ```

1. Vérifiez si votre compte e-mail contient un message d'**Orgs CWEvnt** (le nom d'affichage de votre rubrique Amazon SNS). Le corps de l'e-mail contient la même sortie de texte JSON que l'entrée de journal qui est illustrée dans l'étape précédente.

## Nettoyage : supprimer les ressources devenues inutiles
<a name="clean-up-resources"></a>

Pour éviter d'encourir des frais, vous devez supprimer toutes les AWS ressources que vous avez créées dans le cadre de ce didacticiel et que vous ne souhaitez pas conserver.

**Pour assainir votre AWS environnement**

1. Utilisez la [CloudTrail console](https://console.aws.amazon.com/cloudtrail/) pour supprimer le parcours nommé **My-Test-Trail** que vous avez créé à l'étape 1.

1. Si vous avez créé un compartiment Amazon S3 à l'étape 1, utilisez la [console Amazon S3](https://console.aws.amazon.com/s3/) pour le supprimer.

1. Utilisez la [console Lambda](https://console.aws.amazon.com/lambda/) pour supprimer la fonction nommée **LogOrganizationEvents** que vous avez créée à l'étape 2.

1. Utilisez la [Console Amazon SNS](https://console.aws.amazon.com/sns/) pour supprimer la rubrique Amazon SNS nommée **OrganizationsCloudWatchTopic**que vous avez créée lors de l'étape 3.

1. Utilisez la [CloudWatch console](https://console.aws.amazon.com/cloudwatch/) pour supprimer la EventBridge règle nommée **OrgsMonitorRule** que vous avez créée à l'étape 4.

1. Enfin, utilisez la [console Organizations](https://console.aws.amazon.com/organizations/) pour supprimer l'unité d'organisation nommée **TestCWEOU** que vous avez créée à l'étape 5.

Vous avez terminé. Dans ce didacticiel, vous avez EventBridge configuré votre organisation pour surveiller les modifications. Vous avez configuré une règle qui est déclenchée lorsque des utilisateurs appellent des opérations AWS Organizations spécifiques. La règle exécutait une fonction Lambda qui consignait l'événement et envoyait un e-mail contenant des détails sur l'événement.