Tutorial: monitora le modifiche importanti alla tua organizzazione con Amazon EventBridge - AWS Organizations
PrerequisitiFase 1: configurazione di un trail e un selettore di eventiFase 2: configurazione di una funzione Lambda Passaggio 3: crea un SNS argomento Amazon che invii e-mail agli abbonatiFase 4: Creare una EventBridge regola AmazonPassaggio 5: verifica la tua EventBridge regola AmazonPulizia: rimozione delle risorse non necessarie

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: monitora le modifiche importanti alla tua organizzazione con Amazon EventBridge

Questo tutorial mostra come configurare Amazon EventBridge, precedentemente Amazon CloudWatch Events, per monitorare la tua organizzazione in caso di modifiche. Inizi configurando una regola che viene attivata quando gli utenti invocano specifiche AWS Organizations operazioni. Successivamente, configuri Amazon EventBridge per eseguire un AWS Lambda funziona quando viene attivata la regola e configuri Amazon SNS per inviare un'e-mail con i dettagli sull'evento.

La figura seguente mostra le fasi principali del tutorial.

Five-step process for creating and configuring Servizi AWS, from trail creation to rule testing.

Fase 1: configurazione di un trail e un selettore di eventi

Crea un registro, chiamato trail, in AWS CloudTrail. Lo configuri per acquisire tutte le API chiamate.

Fase 2: configurazione di una funzione Lambda

Crea un AWS Lambda funzione che registra i dettagli sull'evento in un bucket S3.

Passaggio 3: crea un SNS argomento Amazon che invii e-mail agli abbonati

Crea un SNS argomento Amazon che invii e-mail ai suoi abbonati, quindi iscriviti all'argomento.

Fase 4: Creare una EventBridge regola Amazon

Crea una regola che dica EventBridge ad Amazon di passare i dettagli di API chiamate specifiche alla funzione Lambda e agli abbonati dell'SNSargomento.

Passaggio 5: verifica la tua EventBridge regola Amazon

Testa la nuova regola eseguendo una delle operazioni monitorate. In questo tutorial, l'operazione monitorata consiste nella creazione di un'unità organizzativa. Visualizzi la voce di registro creata dalla funzione Lambda e visualizzi l'e-mail che Amazon SNS invia agli abbonati.

Suggerimento

È inoltre possibile utilizzare questo tutorial come guida per la configurazione di operazioni simili, ad esempio l'invio di notifiche e-mail al completamento della creazione dell'account. Poiché la creazione dell'account è un'operazione asincrona, come impostazione predefinita non viene inviata alcuna notifica al completamento. Per ulteriori informazioni sull'utilizzo AWS CloudTrail e Amazon EventBridge con AWS Organizations, consulta Registrazione e monitoraggio AWS Organizations.

Prerequisiti

Questo tutorial presuppone quanto segue:

  • Puoi accedere al AWS Management Console come IAM utente dell'account di gestione dell'organizzazione. L'IAMutente deve disporre delle autorizzazioni per creare e configurare un accesso CloudTrail, una funzione in Lambda, un argomento in SNS Amazon e una regola in Amazon. EventBridge Per ulteriori informazioni sulla concessione delle autorizzazioni, consulta Gestione degli accessi nella Guida per l'IAMutente o la guida del servizio per il quale desideri configurare l'accesso.

  • Hai accesso a un bucket Amazon Simple Storage Service (Amazon S3) esistente (oppure disponi delle autorizzazioni per creare un bucket) per ricevere CloudTrail il log configurato nella fase 1.

Importante

Attualmente, AWS Organizations è ospitato solo nella regione Stati Uniti orientali (Virginia settentrionale) (anche se è disponibile a livello globale). Per eseguire i passaggi di questo tutorial, è necessario configurare AWS Management Console per usare quella regione.

Fase 1: configurazione di un trail e un selettore di eventi

In questo passaggio, accedi all'account di gestione e configuri un registro (chiamato trail) in AWS CloudTrail. Puoi anche configurare un selettore di eventi sul percorso per acquisire tutte le API chiamate di lettura/scrittura in modo che Amazon EventBridge abbia chiamate da attivare.

Per creare un trail

  1. Accedi a AWS come amministratore dell'account di gestione dell'organizzazione, quindi apri la CloudTrail console all'indirizzohttps://console.aws.amazon.com/cloudtrail/.

  2. Nella barra di navigazione nell'angolo in alto a destra della console, scegli la Regione Stati Uniti orientali (Virginia settentrionale). Se scegli una regione diversa, AWS Organizations non appare come opzione nelle impostazioni di EventBridge configurazione di Amazon e CloudTrail non acquisisce informazioni su AWS Organizations.

  3. Nel riquadro di navigazione selezionare Trails (Percorso).

  4. Scegliere Create trail (Creare trail).

  5. In Trail name (Nome trail), immettere My-Test-Trail.

  6. Esegui una delle seguenti opzioni per specificare dove CloudTrail inviare i log:

    • Se devi creare un bucket, scegli Create new S3 bucket (Crea nuovo bucket S3) e quindi, per Trail log bucket and folder (Bucket e cartella del log del trail), immetti un nome per il nuovo bucket.

      Nota

      I nomi di bucket S3 devono essere univoci a livello globale.

    • Se hai già un bucket, scegli Use existing S3 bucket (Utilizza bucket S3 esistente), quindi scegli il nome del bucket dall'elenco S3 bucket (Bucket S3).

  7. Scegli Next (Successivo).

  8. Nella pagina Choose log events (Scegli eventi di log), nella sezione Management events (Eventi di gestione), scegli Read (Lettura) e Write (Scrittura).

  9. Scegli Next (Successivo).

  10. Rivedi le selezioni effettuate, quindi scegli Create trail (Crea trail).

Amazon ti EventBridge consente di scegliere tra diversi modi per inviare avvisi quando una regola di allarme corrisponde a una chiamata in arrivoAPI. Questo tutorial illustra due metodi: invocare una funzione Lambda in grado di registrare la API chiamata e inviare informazioni a un SNS argomento di Amazon che invia un'e-mail o un messaggio di testo agli abbonati dell'argomento. Nei due passaggi successivi, crei i componenti necessari: la funzione Lambda e l'argomento AmazonSNS.

Fase 2: configurazione di una funzione Lambda

In questo passaggio, crei una funzione Lambda che registra l'APIattività che le viene inviata dalla EventBridge regola Amazon che configurerai in seguito.

Per creare una funzione Lambda che registri gli eventi Amazon EventBridge

  1. Apri il AWS Lambda console all'indirizzohttps://console.aws.amazon.com/lambda/.

  2. Se non hai esperienza con Lambda, scegli Get Started Now (Inizia ora) sulla pagina di benvenuto. Altrimenti scegli Create function (Crea funzione).

  3. Nella pagina Create function (Crea funzione) scegliere Use a blueprint (Usa un piano).

  4. Dal riquadro di ricerca Blueprint, immettere hello per il filtro e scegliere la blueprint hello-world.

  5. Scegli Configura.

  6. Nella pagina Basic information (Informazioni di base), procedere come segue:

    1. Per il nome della funzione Lambda, inserisci LogOrganizationEvents nella casella di testo Name (Nome).

    2. In Role (Ruolo), scegliere Create a new role with basic Lambda permissions (Crea un nuovo ruolo con le autorizzazioni Lambda di base). Questo ruolo concede alla tua funzione Lambda le autorizzazioni per accedere ai dati necessari e per scriverli nel log di output.

  7. Modifica il codice per la funzione Lambda, come mostrato nell'esempio seguente.

    console.log('Loading function');

exports.handler = async (event, context) => {
    console.log('LogOrganizationsEvents');
    console.log('Received event:', JSON.stringify(event, null, 2));
    return event.key1;  // Echo back the first key value
    // throw new Error('Something went wrong');
};

    Questo codice di esempio registra l'evento con una stringa LogOrganizationEvents marker seguita dalla JSON stringa che lo compone.

  8. Scegli Crea funzione.

Passaggio 3: crea un SNS argomento Amazon che invii e-mail agli abbonati

In questo passaggio, crei un SNS argomento Amazon che invia informazioni via e-mail ai suoi abbonati. Fai di questo argomento un obiettivo della EventBridge regola Amazon che creerai in seguito.

Per creare un SNS argomento Amazon per inviare un'e-mail agli abbonati

  1. Apri la SNS console Amazon all'indirizzohttps://console.aws.amazon.com/sns/v3/.

  2. Nel pannello di navigazione, scegli Topics (Argomenti).

  3. Scegli Create new topic (Crea nuovo argomento).

    1. Per Topic name (Nome argomento), immettere OrganizationsCloudWatchTopic.

    2. Per Display name (Nome visualizzato), inserire OrgsCWEvnt.

    3. Scegli Create topic (Crea argomento).

  4. Puoi ora creare una sottoscrizione per l'argomento. Scegli ARN il argomento che hai appena creato.

  5. Scegli Crea sottoscrizione.

    1. Nella pagina Create subscription (Crea sottoscrizione) scegli Email (E-mail) in Protocol (Protocollo).

    2. Per Endpoint, immettere il proprio indirizzo e-mail.

    3. Scegli Crea sottoscrizione. AWS invia un'e-mail all'indirizzo e-mail specificato nel passaggio precedente. Attendere l'arrivo dell'e-mail, quindi scegliere il link Confirm subscription (Conferma abbonamento) nell'e-mail per verificare l'avvenuta ricezione dell'e-mail.

    4. Torna alla console e aggiorna la pagina. Il messaggio Pending confirmation (Conferma in sospeso) non verrà più visualizzato e verrà sostituito dall'ID di sottoscrizione attualmente valido.

Fase 4: Creare una EventBridge regola Amazon

Ora che la funzione Lambda richiesta è presente nel tuo account, crei una EventBridge regola Amazon che la richiama quando vengono soddisfatti i criteri della regola.

Per creare una regola EventBridge

  1. Apri la EventBridge console Amazon all'indirizzohttps://console.aws.amazon.com/events/.

  2. Imposta la console sulla regione Stati Uniti orientali (Virginia settentrionale), altrimenti le informazioni su Organizations non saranno disponibili. Nella barra di navigazione nell'angolo in alto a destra della console, scegli la Regione Stati Uniti orientali (Virginia settentrionale).

  3. Per istruzioni sulla creazione di regole, consulta la sezione Guida introduttiva ad Amazon EventBridge nella guida per EventBridge l'utente di Amazon.

Passaggio 5: verifica la tua EventBridge regola Amazon

In questa fase, crei un'unità organizzativa (OU) e osservi la EventBridge regola di Amazon, generi una voce di registro e ti invii un'e-mail con i dettagli sull'evento.

AWS Management Console
Per creare un'unità organizzativa

  1. Apri il AWS Organizations console per Account AWSpagina.

  2. Seleziona la casella di controllo dell'UO Blue checkmark icon indicating confirmation or completion of a task. Root, scegli Actions (Operazioni) e quindi in Organizational unit (Unità organizzativa) scegli Create new (Crea nuova).

  3. Come nome della UO, inserire TestCWEOU e scegliere Create organizational unit (Crea unità organizzativa).
Per visualizzare la voce di EventBridge registro

  1. Apri la CloudWatch console all'indirizzohttps://console.aws.amazon.com/cloudwatch/.

  2. Nella pagina di navigazione scegli Log.

  3. In Gruppi di log, scegli il gruppo associato alla tua funzione Lambda: /aws/lambda/. LogOrganizationEvents

  4. Ogni gruppo contiene uno o più flussi e per il giorno odierno dovrebbe esserci un gruppo. Sceglilo.

  5. Visualizza il log. Dovresti vedere righe simili alla seguente:

    Log entries showing event reception with timestamp, version, and ID details.

  6. Seleziona la riga centrale della voce per visualizzare il testo completo JSON dell'evento ricevuto. Puoi vedere tutti i dettagli della API richiesta nella sezione requestParameters e nelle responseElements parti dell'output.

    2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
{
    "version": "0",
    "id": "123456-EXAMPLE-GUID-123456",
    "detail-type": "AWS API Call via CloudTrail",
    "source": "aws.organizations",
    "account": "123456789012",
    "time": "2017-03-09T22:44:26Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "eventVersion": "1.04",
        "userIdentity": {
            ...
        },
        "eventTime": "2017-03-09T22:44:26Z",
        "eventSource": "organizations.amazonaws.com",
        "eventName": "CreateOrganizationalUnit",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "192.168.0.1",
        "userAgent": "AWS Organizations Console, aws-internal/3",
        "requestParameters": {
            "parentId": "r-exampleRootId",
            "name": "TestCWEOU"
        },
        "responseElements": {
            "organizationalUnit": {
                "name": "TestCWEOU",
                "id": "ou-exampleRootId-exampleOUId",
                "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId"
            }
        },
        "requestID": "123456-EXAMPLE-GUID-123456",
        "eventID": "123456-EXAMPLE-GUID-123456",
        "eventType": "AwsApiCall"
    }
}

  7. Controlla se nel tuo account e-mail è presente un messaggio di O rgsCWEvnt (il nome visualizzato del tuo SNS argomento su Amazon). Il corpo dell'e-mail contiene lo stesso JSON testo in uscita della voce di registro mostrata nel passaggio precedente.

Pulizia: rimozione delle risorse non necessarie

Per evitare di incorrere in addebiti, è necessario eliminarli AWS risorse che hai creato come parte di questo tutorial che non vuoi conservare.

Per ripulire il tuo AWS ambiente

  1. Usa la CloudTrail console per eliminare il percorso denominato My-Test-Trail che hai creato nel passaggio 1.

  2. Se nella fase 1 hai creato un bucket Amazon S3, utilizza la console Amazon S3 per eliminarlo.

  3. Utilizza la console Lambda per eliminare la funzione denominata LogOrganizationEvents creata nella fase 2.

  4. Usa la SNSconsole Amazon per eliminare l'SNSargomento Amazon denominato OrganizationsCloudWatchTopic che hai creato nel passaggio 3.

  5. Usa la CloudWatch console per eliminare la EventBridge regola denominata OrgsMonitorRule che hai creato nel passaggio 4.

  6. Utilizza la console Organizations per eliminare l'unità organizzativa denominata TestCWEOU creata alla fase 5.

Sono state completate tutte le operazioni. In questo tutorial, ti sei configurato EventBridge per monitorare le modifiche apportate alla tua organizzazione. Hai configurato una regola che viene attivata quando gli utenti invocano specifiche AWS Organizations operazioni. La regola eseguiva una funzione Lambda che registrava l'evento e inviava un'e-mail contenente i dettagli dell'evento.