Tutorial: Monitore mudanças importantes em sua organização com a Amazon EventBridge - AWS Organizations
Pré-requisitosEtapa 1: configurar um seletor de eventos e trilhasEtapa 2: Configurar uma função do Lambda Etapa 3: Crie um SNS tópico da Amazon que envie e-mails aos assinantesEtapa 4: criar uma EventBridge regra da AmazonEtapa 5: Teste sua EventBridge regra da AmazonLimpar: remover os recursos que não são mais necessários

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial: Monitore mudanças importantes em sua organização com a Amazon EventBridge

Este tutorial mostra como configurar a Amazon EventBridge, antiga Amazon CloudWatch Events, para monitorar mudanças em sua organização. Você começa configurando uma regra que é acionada quando os usuários invocam uma regra específica. AWS Organizations operações. Em seguida, você configura EventBridge a Amazon para executar um AWS Lambda funciona quando a regra é acionada e você configura SNS a Amazon para enviar um e-mail com detalhes sobre o evento.

A seguinte ilustração mostra as etapas principais do tutorial.

Five-step process for creating and configuring Serviços da AWS, from trail creation to rule testing.

Etapa 1: configurar um seletor de eventos e trilhas

Crie um registro, chamado de trilha, no AWS CloudTrail. Você o configura para capturar todas as API chamadas.

Etapa 2: Configurar uma função do Lambda

Crie um AWS Lambda função que registra detalhes sobre o evento em um bucket do S3.

Etapa 3: Crie um SNS tópico da Amazon que envie e-mails aos assinantes

Crie um SNS tópico da Amazon que envie e-mails para seus assinantes e, em seguida, inscreva-se no tópico.

Etapa 4: criar uma EventBridge regra da Amazon

Crie uma regra que diga EventBridge à Amazon que transmita detalhes de API chamadas especificadas para a função Lambda e para os assinantes do SNS tópico.

Etapa 5: Teste sua EventBridge regra da Amazon

Teste a sua nova regra executando uma das operações monitoradas. Neste tutorial, a operação monitorada é a criação de uma unidade organizacional (UO). Você visualiza a entrada de registro criada pela função Lambda e visualiza o e-mail que a Amazon SNS envia aos assinantes.

Dica

Você também poderá usar este tutorial como um guia para configurar operações semelhantes, como enviar notificações por e-mail quando a criação da conta estiver concluída. Como a criação da conta é uma operação assíncrona, por padrão, você não é notificado quando ela é concluída. Para obter mais informações sobre o uso AWS CloudTrail e a Amazon EventBridge com AWS Organizations, consulte Registro e monitoramento em AWS Organizations.

Pré-requisitos

Este tutorial assume o seguinte:

  • Você pode entrar no AWS Management Console como IAM usuário da conta de gerenciamento em sua organização. O IAM usuário deve ter permissões para criar e configurar um login CloudTrail, uma função no Lambda, um tópico na Amazon SNS e uma regra na Amazon. EventBridge Para obter mais informações sobre a concessão de permissões, consulte Gerenciamento de acesso no Guia IAM do usuário ou o guia do serviço para o qual você deseja configurar o acesso.

  • Você tem acesso a um bucket existente do Amazon Simple Storage Service (Amazon S3) (ou você tem permissões para criar um bucket) para receber CloudTrail o log que você configurou na etapa 1.

Importante

Atualmente, AWS Organizations está hospedado somente na região Leste dos EUA (Norte da Virgínia) (embora esteja disponível globalmente). Para executar as etapas deste tutorial, você deve configurar o AWS Management Console para usar essa região.

Etapa 1: configurar um seletor de eventos e trilhas

Nesta etapa, você faz login na conta de gerenciamento e configura um registro (chamado de trilha) no AWS CloudTrail. Você também configura um seletor de eventos na trilha para capturar todas as API chamadas de leitura/gravação para que a Amazon EventBridge tenha chamadas para ativar.

Para criar uma trilha

  1. Faça login em AWS como administrador da conta de gerenciamento da organização e, em seguida, abra o CloudTrail console emhttps://console.aws.amazon.com/cloudtrail/.

  2. Na barra de navegação no canto superior direito do console, escolha a região US East (N. Virginia) (Leste dos EUA (Norte da Virgínia)). Se você escolher uma região diferente, AWS Organizations não aparece como uma opção nas EventBridge configurações da Amazon e CloudTrail não captura informações sobre AWS Organizations.

  3. No painel de navegação, selecione Trilhas.

  4. Escolha Create Trail (Criar trilha).

  5. Em Trail name (Nome da trilha), digite My-Test-Trail.

  6. Execute uma das opções a seguir para especificar onde CloudTrail entregar seus registros:

    • Se precisar criar um bucket, escolha Create new S3 bucket (Criar um novo bucket do S3) e, em Trail log bucket and folder (Bucket e pasta de log de trilha), insira um nome para o novo bucket.

      nota

      Os nomes de buckets do S3 devem ser exclusivos globalmente.

    • Se você já tiver um bucket, escolha Use existing S3 bucket (Usar bucket do S3 existente) e, em seguida, escolha o nome do bucket na lista S3 bucket (Buckets do S3).

  7. Escolha Próximo.

  8. Na página Choose log events (Escolher eventos de log), na seção Management events (Eventos de gerenciamento), escolha Read (Ler) e Write (Gravar).

  9. Escolha Próximo.

  10. Verifique suas seleções e escolha Create trail (Criar trilha).

A Amazon EventBridge permite que você escolha entre várias maneiras diferentes de enviar alertas quando uma regra de alarme corresponde a uma API chamada recebida. Este tutorial demonstra dois métodos: invocar uma função Lambda que pode registrar a API chamada e enviar informações para um SNS tópico da Amazon que envia um e-mail ou mensagem de texto aos assinantes do tópico. Nas próximas duas etapas, você cria os componentes necessários: a função Lambda e o tópico da AmazonSNS.

Etapa 2: Configurar uma função do Lambda

Nesta etapa, você cria uma função Lambda que registra a API atividade que é enviada a ela pela EventBridge regra da Amazon que você configura posteriormente.

Para criar uma função Lambda que registra eventos da Amazon EventBridge

  1. Abra as AWS Lambda console emhttps://console.aws.amazon.com/lambda/.

  2. Se você não tiver familiaridade com o Lambda, escolha Get Started Now (Começar a usar agora) na página de boas-vindas. Caso contrário, escolha Create function (Criar função).

  3. Na página Create function (Criar função), selecione Usar um blueprint (Usar um esquema).

  4. Na caixa de pesquisa Blueprints (Esquemas), digitehello para o filtro e escolha o esquema hello-world.

  5. Selecione Configurar.

  6. Na página Basic information (Informações básicas), faça o seguinte:

    1. No nome da função do Lambda, insira LogOrganizationEvents na caixa de texto Name (Nome).

    2. Em Role (Função), escolha Create a new role with basic Lambda permissions (Criar uma nova função com permissões básicas do Lambda). Essa função concede à sua função do Lambda permissões para acessar os dados necessários e para gravar seu log de saída.

  7. Edite o código da função do Lambda, conforme mostrado no exemplo a seguir.

    console.log('Loading function');

exports.handler = async (event, context) => {
    console.log('LogOrganizationsEvents');
    console.log('Received event:', JSON.stringify(event, null, 2));
    return event.key1;  // Echo back the first key value
    // throw new Error('Something went wrong');
};

    Esse código de exemplo registra o evento com uma string de LogOrganizationEvents marcador seguida pela JSON string que compõe o evento.

  8. Escolha a opção Criar função.

Etapa 3: Crie um SNS tópico da Amazon que envie e-mails aos assinantes

Nesta etapa, você cria um SNS tópico da Amazon que envia informações por e-mail para seus assinantes. Você faz desse tópico um alvo da EventBridge regra da Amazon que você criará posteriormente.

Para criar um SNS tópico da Amazon para enviar um e-mail aos assinantes

  1. Abra o SNS console da Amazon emhttps://console.aws.amazon.com/sns/v3/.

  2. No painel de navegação, escolha Topics (Tópicos).

  3. Selecione Create new topic (Criar novo tópico).

    1. Em Topic name (Nome do tópico), digite OrganizationsCloudWatchTopic.

    2. Em Display name (Nome de exibição), digite OrgsCWEvnt.

    3. Escolha Criar tópico.

  4. Agora você pode criar uma assinatura para o tópico. Escolha o ARN para o tópico que você acabou de criar.

  5. Selecione Create subscription.

    1. Na página Create subscription (Criar assinatura), em Protocol (Protocolo), selecione Email (E-mail).

    2. Para Endpoint, insira seu endereço de e-mail.

    3. Selecione Create subscription. AWS envia um e-mail para o endereço de e-mail que você especificou na etapa anterior. Aguarde até o e-mail chegar e, em seguida, clique no link Confirmar assinatura no e-mail para verificar se você recebeu o e-mail corretamente.

    4. Volte ao console e atualize a página. A mensagem Confirmação pendente desaparece e é substituída pelo ID de assinatura agora válido.

Etapa 4: criar uma EventBridge regra da Amazon

Agora que a função Lambda necessária existe em sua conta, você cria uma EventBridge regra da Amazon que a invoca quando os critérios da regra são atendidos.

Para criar uma EventBridge regra

  1. Abra o EventBridge console da Amazon emhttps://console.aws.amazon.com/events/.

  2. Defina o console para a região US East (N. Virginia) (Leste dos EUA [Norte da Virgínia]) ou as informações sobre o Organizations não estarão disponíveis. Na barra de navegação no canto superior direito do console, escolha a região US East (N. Virginia) (Leste dos EUA (Norte da Virgínia)).

  3. Para obter instruções sobre a criação de regras, consulte Introdução à Amazon EventBridge no guia EventBridge do usuário da Amazon.

Etapa 5: Teste sua EventBridge regra da Amazon

Nesta etapa, você cria uma unidade organizacional (OU) e observa a EventBridge regra da Amazon, gera uma entrada de registro e envia um e-mail para si mesmo com detalhes sobre o evento.

AWS Management Console
Para criar uma UO

  1. Abra as AWS Organizations console para o Contas da AWSpágina.

  2. Escolha a caixa de seleção Blue checkmark icon indicating confirmation or completion of a task. Root OU (UO raiz), escolha Actions (Ações)e, em Organizational unit (Unidade organizacional), escolha Create (Criar).

  3. No nome da UO, digite TestCWEOU e escolha Create organizational unit (Criar unidade organizacional).
Para ver a entrada do EventBridge registro

  1. Abra o CloudWatch console emhttps://console.aws.amazon.com/cloudwatch/.

  2. Na página de navegação, escolha Logs.

  3. Em Grupos de registros, escolha o grupo associado à sua função Lambda: /aws/lambda/. LogOrganizationEvents

  4. Cada grupo contém um ou mais streams e deve haver um grupo para hoje. Escolha-o.

  5. Visualize o log. Você deve ver linhas semelhantes às seguintes:

    Log entries showing event reception with timestamp, version, and ID details.

  6. Selecione a linha central da entrada para ver o JSON texto completo do evento recebido. Você pode ver todos os detalhes da API solicitação nas responseElements partes requestParameters e na saída.

    2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
{
    "version": "0",
    "id": "123456-EXAMPLE-GUID-123456",
    "detail-type": "AWS API Call via CloudTrail",
    "source": "aws.organizations",
    "account": "123456789012",
    "time": "2017-03-09T22:44:26Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "eventVersion": "1.04",
        "userIdentity": {
            ...
        },
        "eventTime": "2017-03-09T22:44:26Z",
        "eventSource": "organizations.amazonaws.com",
        "eventName": "CreateOrganizationalUnit",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "192.168.0.1",
        "userAgent": "AWS Organizations Console, aws-internal/3",
        "requestParameters": {
            "parentId": "r-exampleRootId",
            "name": "TestCWEOU"
        },
        "responseElements": {
            "organizationalUnit": {
                "name": "TestCWEOU",
                "id": "ou-exampleRootId-exampleOUId",
                "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId"
            }
        },
        "requestID": "123456-EXAMPLE-GUID-123456",
        "eventID": "123456-EXAMPLE-GUID-123456",
        "eventType": "AwsApiCall"
    }
}

  7. Verifique se há uma mensagem de O em sua conta de e-mail rgsCWEvnt (o nome de exibição do seu SNS tópico na Amazon). O corpo do e-mail contém a mesma saída de JSON texto da entrada de registro mostrada na etapa anterior.

Limpar: remover os recursos que não são mais necessários

Para evitar cobranças, você deve excluir qualquer AWS recursos que você criou como parte deste tutorial e que você não deseja manter.

Para limpar seu AWS environment (ambiente)

  1. Use o CloudTrail console para excluir a trilha chamada My-Test-Trail que você criou na etapa 1.

  2. Se você criou um bucket do Amazon S3 na etapa 1, use o console do Amazon S3 para excluí-lo.

  3. Use o console do Lambda para excluir a função chamada LogOrganizationEvents que você criou na etapa 2.

  4. Use o SNSconsole da Amazon para excluir o SNS tópico da Amazon chamado OrganizationsCloudWatchTopic que você criou na etapa 3.

  5. Use o CloudWatch console para excluir a EventBridge regra chamada OrgsMonitorRule que você criou na etapa 4.

  6. Use o console do Organizations para excluir a UO denominada TestCWEOU que você criou na etapa 5.

Isso é tudo. Neste tutorial, você configurou EventBridge para monitorar mudanças em sua organização. Você configurou uma regra que é acionada quando os usuários invocam uma regra específica AWS Organizations operações. A regra executou uma função do Lambda que registrou o evento no log e enviou um e-mail com detalhes sobre o evento.