Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Tutorial: monitora le modifiche importanti alla tua organizzazione con Amazon EventBridge
<a name="orgs_tutorials_cwe"></a>

Questo tutorial mostra come configurare Amazon EventBridge, precedentemente Amazon CloudWatch Events, per monitorare la tua organizzazione in caso di modifiche. Per iniziare, è necessario configurare una regola che si attiva quando gli utenti invocano operazioni specifiche di AWS Organizations . Successivamente, configuri Amazon EventBridge per eseguire una AWS Lambda funzione quando viene attivata la regola e Amazon SNS per inviare un'e-mail con i dettagli sull'evento. 

La figura seguente mostra le fasi principali del tutorial.

**[Fase 1: configurazione di un trail e un selettore di eventi](#tutorial-cwe-step1)**  
Crea un registro, chiamato *trail*, in. AWS CloudTrail e configuralo in modo da acquisire tutte le chiamate API.

**[Fase 2: configurazione di una funzione Lambda](#tutorial-cwe-step2)**  
Crea una AWS Lambda funzione che registri i dettagli dell'evento in un bucket S3.

**[Fase 3: creazione di un argomento Amazon SNS che invia e-mail ai sottoscrittori](#tutorial-cwe-step3)**  
Crea un argomento Amazon SNS che invia e-mail ai sottoscrittori, quindi esegui la sottoscrizione all'argomento.

**[Fase 4: Creare una EventBridge regola Amazon](#tutorial-cwe-step4)**  
Crea una regola che indichi EventBridge ad Amazon di trasmettere i dettagli di chiamate API specificate alla funzione Lambda e agli abbonati all'argomento SNS.

**[Passaggio 5: verifica la tua EventBridge regola Amazon](#tutorial-cwe-step5)**  
Testa la nuova regola eseguendo una delle operazioni monitorate. In questo tutorial, l'operazione monitorata consiste nella creazione di un'unità organizzativa. Puoi visualizzare la voce di log creata dalla funzione Lambda e l'e-mail inviata da Amazon SNS ai sottoscrittori.

**Suggerimento**  
È inoltre possibile utilizzare questo tutorial come guida per la configurazione di operazioni simili, ad esempio l'invio di notifiche e-mail al completamento della creazione dell'account. Poiché la creazione dell'account è un'operazione asincrona, come impostazione predefinita non viene inviata alcuna notifica al completamento. Per ulteriori informazioni sull'utilizzo AWS CloudTrail e su Amazon EventBridge con AWS Organizations, consulta[Registrazione e monitoraggio AWS Organizations](orgs_security_incident-response.md).

## Prerequisiti
<a name="tutorial-cwe-prereqs"></a>

Questo tutorial presuppone quanto segue:
+ Puoi accedere Console di gestione AWS come utente IAM dall'account di gestione della tua organizzazione. L'utente IAM deve disporre delle autorizzazioni per creare e configurare un accesso CloudTrail, una funzione in Lambda, un argomento in Amazon SNS e una regola in Amazon. EventBridge Per ulteriori informazioni sulla concessione delle autorizzazioni, consulta [Gestione dell'accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *Guida per l'utente di IAM* o nella guida del servizio per cui desideri configurare l'accesso.
+ Hai accesso a un bucket Amazon Simple Storage Service (Amazon S3) esistente (oppure disponi delle autorizzazioni per creare un bucket) per ricevere CloudTrail il log configurato nella fase 1.

**Importante**  
Attualmente, AWS Organizations è ospitato solo nella regione Stati Uniti orientali (Virginia settentrionale) (anche se è disponibile a livello globale). Per eseguire i passaggi di questo tutorial, è necessario configurare l'utilizzo Console di gestione AWS di quella regione. 

## Fase 1: configurazione di un trail e un selettore di eventi
<a name="tutorial-cwe-step1"></a>

In questa fase accederai all'account di gestione e configurerai un log (denominato *trail*) su AWS CloudTrail. Puoi anche configurare un selettore di eventi durante il percorso per acquisire tutte le chiamate read/write API in modo che Amazon EventBridge abbia chiamate da attivare.

**Come creare un trail**

1. Accedi AWS come amministratore dell'account di gestione dell'organizzazione, quindi apri la CloudTrail console all'indirizzo[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Nella barra di navigazione nell'angolo in alto a destra della console, scegli la Regione **Stati Uniti orientali (Virginia settentrionale)**. Se scegli una regione diversa, AWS Organizations non appare come opzione nelle impostazioni di EventBridge configurazione di Amazon e CloudTrail non acquisisce informazioni su AWS Organizations.

1. Nel riquadro di navigazione selezionare **Trails** (Percorso).

1. Scegliere **Create trail (Creare trail)**.

1. In **Trail name (Nome trail)**, immettere **My-Test-Trail**. 

1. Esegui una delle seguenti opzioni per specificare dove CloudTrail inviare i log:
   + Se devi creare un bucket, scegli **Create new S3 bucket** (Crea nuovo bucket S3) e quindi, per **Trail log bucket and folder** (Bucket e cartella del log del trail), immetti un nome per il nuovo bucket.
**Nota**  
I nomi di bucket S3 devono essere univoci a ***livello globale***.
   + Se hai già un bucket, scegli **Use existing S3 bucket** (Utilizza bucket S3 esistente), quindi scegli il nome del bucket dall'elenco **S3 bucket** (Bucket S3).

1. Scegli **Next (Successivo)**.

1. Nella pagina **Choose log events** (Scegli eventi di log), nella sezione **Management events** (Eventi di gestione), scegli **Read** (Lettura) e **Write** (Scrittura).

1. Scegli **Next (Successivo)**.

1. Rivedi le selezioni effettuate, quindi scegli **Create trail** (Crea trail).

Amazon ti EventBridge consente di scegliere tra diversi modi per inviare avvisi quando una regola di allarme corrisponde a una chiamata API in entrata. Questo tutorial illustra due metodi: la chiamata di una funzione Lambda che può registrare la chiamata API e l'invio di informazioni a un argomento di Amazon SNS che invia un'e-mail o un messaggio di testo ai sottoscrittori dell'argomento. Nelle prossime due fasi verranno creati i componenti necessari: la funzione Lambda e l'argomento di Amazon SNS.

## Fase 2: configurazione di una funzione Lambda
<a name="tutorial-cwe-step2"></a>

In questo passaggio, crei una funzione Lambda che registra l'attività dell'API che le viene inviata dalla EventBridge regola Amazon che configurerai in seguito.

**Per creare una funzione Lambda che registri gli eventi Amazon EventBridge**

1. Apri la AWS Lambda console all'indirizzo. [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)

1. Se non hai esperienza con Lambda, scegli **Get Started Now** (Inizia ora) sulla pagina di benvenuto. Altrimenti scegli **Create function** (Crea funzione).

1. Nella pagina **Create function (Crea funzione)** scegliere **Use a blueprint (Usa un piano)**.

1. Dal riquadro di ricerca **Blueprint**, immettere **hello** per il filtro e scegliere la blueprint **hello-world**.

1. Scegli **Configura**.

1. Nella pagina **Basic information (Informazioni di base)**, procedere come segue:

   1. Per il nome della funzione Lambda, inserisci **LogOrganizationEvents** nella casella di testo **Name (Nome)**. 

   1. In **Role (Ruolo)**, scegliere **Create a new role with basic Lambda permissions (Crea un nuovo ruolo con le autorizzazioni Lambda di base)**. Questo ruolo concede alla tua funzione Lambda le autorizzazioni per accedere ai dati necessari e per scriverli nel log di output.

1. Modifica il codice per la funzione Lambda, come mostrato nell'esempio seguente.

   ```
   console.log('Loading function');
   
   exports.handler = async (event, context) => {
       console.log('LogOrganizationsEvents');
       console.log('Received event:', JSON.stringify(event, null, 2));
       return event.key1;  // Echo back the first key value
       // throw new Error('Something went wrong');
   };
   ```

   Questo codice di esempio registra l'evento con una stringa di contrassegno **LogOrganizationEvents** seguita dalla stringa JSON che costituisce l'evento.

1. Scegli **Crea funzione**. 

## Fase 3: creazione di un argomento Amazon SNS che invia e-mail ai sottoscrittori
<a name="tutorial-cwe-step3"></a>

In questa fase, creerai un argomento Amazon SNS che invia informazioni tramite e-mail ai sottoscrittori. Fai di questo argomento un obiettivo della EventBridge regola Amazon che creerai in seguito.

**Per creare un argomento Amazon SNS che invia un'e-mail ai sottoscrittori**

1. Apri la console Amazon SNS all'indirizzo [https://console.aws.amazon.com/sns/v3/](https://console.aws.amazon.com/sns/v3/). 

1. Nel pannello di navigazione, scegli **Topics** (Argomenti).

1. Scegli **Create new topic** (Crea nuovo argomento).

   1. Per **Topic name (Nome argomento)**, immettere **OrganizationsCloudWatchTopic**.

   1. Per **Display name (Nome visualizzato)**, inserire **OrgsCWEvnt**.

   1. Scegli **Create topic** (Crea argomento).

1. Puoi ora creare una sottoscrizione per l'argomento. Scegli l'ARN per l'argomento che hai appena creato.

1. Scegli **Create Subscription** (Crea sottoscrizione).

   1. Nella pagina **Create subscription** (Crea sottoscrizione) scegli **Email** (E-mail) in **Protocol** (Protocollo).

   1. Per **Endpoint**, immettere il proprio indirizzo e-mail.

   1. Scegli **Crea abbonamento**. AWS invia un'e-mail all'indirizzo e-mail specificato nel passaggio precedente. Attendere l'arrivo dell'e-mail, quindi scegliere il link **Confirm subscription (Conferma abbonamento)** nell'e-mail per verificare l'avvenuta ricezione dell'e-mail.

   1. Torna alla console e aggiorna la pagina. Il messaggio **Pending confirmation** (Conferma in sospeso) non verrà più visualizzato e verrà sostituito dall'ID di sottoscrizione attualmente valido.

## Fase 4: Creare una EventBridge regola Amazon
<a name="tutorial-cwe-step4"></a>

Ora che la funzione Lambda richiesta è presente nel tuo account, crei una EventBridge regola Amazon che la richiama quando vengono soddisfatti i criteri della regola.

**Per creare una regola EventBridge**

1. Apri la EventBridge console Amazon all'indirizzo[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/). 

1. Imposta la console sulla regione **Stati Uniti orientali (Virginia settentrionale)**, altrimenti le informazioni su Organizations non saranno disponibili. Nella barra di navigazione nell'angolo in alto a destra della console, scegli la Regione **Stati Uniti orientali (Virginia settentrionale)**.

1. Per istruzioni sulla creazione di regole, consulta [Rules in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) nella guida per EventBridge l'utente di Amazon.

## Passaggio 5: verifica la tua EventBridge regola Amazon
<a name="tutorial-cwe-step5"></a>

In questa fase, crei un'unità organizzativa (OU) e osservi la EventBridge regola di Amazon, generi una voce di registro e ti invii un'e-mail con i dettagli sull'evento.

------
#### [ Console di gestione AWS ]

**Per creare un'unità organizzativa**

1. Apri la AWS Organizations console alla [**Account AWS**pagina](https://console.aws.amazon.com/organizations/v2/home/accounts). 

1.  Seleziona la casella di controllo dell'UO ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/checkbox-selected.png) **Root**, scegli **Actions (Operazioni)** e quindi in **Organizational unit (Unità organizzativa)** scegli **Create new (Crea nuova)**.

1. Come nome della UO, inserire **TestCWEOU** e scegliere **Create organizational unit (Crea unità organizzativa)**.

------

**Per visualizzare la voce del EventBridge registro**

1. Apri la CloudWatch console all'indirizzo[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Nella pagina di navigazione scegli **Log**.

1. **In **Gruppi di log**, scegli il gruppo associato alla tua funzione Lambda:/. aws/lambda/LogOrganizationEvents**

1. Ogni gruppo contiene uno o più flussi e per il giorno odierno dovrebbe esserci un gruppo. Sceglilo.

1. Visualizza il log. Dovresti vedere righe simili alla seguente:  
![\[Registro CloudWatch degli eventi di esempio che mostra i dettagli delle chiamate all'API Organizations\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/tutorial-sample-CWE-log.png)

1. Seleziona la riga centrale della voce per visualizzare il testo JSON completo dell'evento ricevuto. Puoi visualizzare tutti i dettagli della richiesta API nelle parti `requestParameters` e `responseElements` dell'output.

   ```
   2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
   {
       "version": "0",
       "id": "123456-EXAMPLE-GUID-123456",
       "detail-type": "AWS API Call via CloudTrail",
       "source": "aws.organizations",
       "account": "123456789012",
       "time": "2017-03-09T22:44:26Z",
       "region": "us-east-1",
       "resources": [],
       "detail": {
           "eventVersion": "1.04",
           "userIdentity": {
               ...
           },
           "eventTime": "2017-03-09T22:44:26Z",
           "eventSource": "organizations.amazonaws.com",
           "eventName": "CreateOrganizationalUnit",
           "awsRegion": "us-east-1",
           "sourceIPAddress": "192.168.0.1",
           "userAgent": "AWS Organizations Console, aws-internal/3",
           "requestParameters": {
               "parentId": "r-exampleRootId",
               "name": "TestCWEOU"
           },
           "responseElements": {
               "organizationalUnit": {
                   "name": "TestCWEOU",
                   "id": "ou-exampleRootId-exampleOUId",
                   "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId",
                   "path": "o-exampleOrgId/r-exampleRootId/ou-exampleRootId-exampleOUId/"
               }
           },
           "requestID": "123456-EXAMPLE-GUID-123456",
           "eventID": "123456-EXAMPLE-GUID-123456",
           "eventType": "AwsApiCall"
       }
   }
   ```

1. Controlla se nel tuo account e-mail è presente un messaggio proveniente da **CWEvntOrg** (il nome visualizzato del tuo argomento Amazon SNS). Il corpo dell'e-mail contiene lo stesso output del testo JSON della voce di log visualizzata nella fase precedente.

## Pulizia: rimozione delle risorse non necessarie
<a name="clean-up-resources"></a>

Per evitare di incorrere in addebiti, dovresti eliminare tutte AWS le risorse che hai creato come parte di questo tutorial che non desideri conservare.

**Per ripulire l'ambiente AWS**

1. Usa la [CloudTrail console](https://console.aws.amazon.com/cloudtrail/) per eliminare il percorso denominato **My-Test-Trail** che hai creato nel passaggio 1.

1. Se nella fase 1 hai creato un bucket Amazon S3, utilizza la [console Amazon S3](https://console.aws.amazon.com/s3/) per eliminarlo.

1. Utilizza la [console Lambda](https://console.aws.amazon.com/lambda/) per eliminare la funzione denominata **LogOrganizationEvents** creata nella fase 2.

1. Utilizza la [console Amazon SNS](https://console.aws.amazon.com/sns/) per eliminare l'argomento Amazon SNS denominato **OrganizationsCloudWatchTopic** creato nella fase 3.

1. Usa la [CloudWatch console](https://console.aws.amazon.com/cloudwatch/) per eliminare la EventBridge regola denominata **OrgsMonitorRule** che hai creato nel passaggio 4.

1. Utilizza la [console Organizations](https://console.aws.amazon.com/organizations/) per eliminare l'unità organizzativa denominata **TestCWEOU** creata alla fase 5.

Sono state completate tutte le operazioni. In questo tutorial, ti sei configurato EventBridge per monitorare le modifiche apportate alla tua organizzazione. Hai configurato una regola che viene attivata quando gli utenti invocano operazioni specifiche di AWS Organizations . La regola eseguiva una funzione Lambda che registrava l'evento e inviava un'e-mail contenente i dettagli dell'evento.