As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Tutorial: Monitore mudanças importantes em sua organização com a Amazon EventBridge
<a name="orgs_tutorials_cwe"></a>

Este tutorial mostra como configurar a Amazon EventBridge, antiga Amazon CloudWatch Events, para monitorar mudanças em sua organização. Você começa por configurar uma regra que é acionada quando os usuários invocam operações específicas do AWS Organizations . Em seguida, você configura EventBridge a Amazon para executar uma AWS Lambda função quando a regra é acionada e configura o Amazon SNS para enviar um e-mail com detalhes sobre o evento. 

A seguinte ilustração mostra as etapas principais do tutorial.

**[Etapa 1: configurar um seletor de eventos e trilhas](#tutorial-cwe-step1)**  
Crie um registro, chamado de *trilha*, em AWS CloudTrail. Você configura-o para capturar todas as chamadas de API.

**[Etapa 2: Configurar uma função do Lambda](#tutorial-cwe-step2)**  
Crie uma AWS Lambda função que registre detalhes sobre o evento em um bucket do S3.

**[Etapa 3: Criar um tópico do Amazon SNS que envia e-mails para assinantes](#tutorial-cwe-step3)**  
Crie um tópico do Amazon SNS que envia e-mails para seus assinantes e, em seguida, inscreva-se no tópico.

**[Etapa 4: criar uma EventBridge regra da Amazon](#tutorial-cwe-step4)**  
Crie uma regra que diga EventBridge à Amazon que transmita detalhes de chamadas de API especificadas para a função Lambda e para os assinantes de tópicos do SNS.

**[Etapa 5: Teste sua EventBridge regra da Amazon](#tutorial-cwe-step5)**  
Teste a sua nova regra executando uma das operações monitoradas. Neste tutorial, a operação monitorada é a criação de uma unidade organizacional (UO). Você vê a entrada do log que a função do Lambda cria e o e-mail que o Amazon SNS envia aos assinantes.

**Dica**  
Você também poderá usar este tutorial como um guia para configurar operações semelhantes, como enviar notificações por e-mail quando a criação da conta estiver concluída. Como a criação da conta é uma operação assíncrona, por padrão, você não é notificado quando ela é concluída. Para obter mais informações sobre como usar a Amazon AWS CloudTrail e EventBridge com AWS Organizations ela, consulte[Registro e monitoramento em AWS Organizations](orgs_security_incident-response.md).

## Pré-requisitos
<a name="tutorial-cwe-prereqs"></a>

Este tutorial assume o seguinte:
+ Você pode entrar no Console de gerenciamento da AWS como usuário do IAM a partir da conta de gerenciamento da sua organização. O usuário do IAM deve ter permissões para criar e configurar um login CloudTrail, uma função no Lambda, um tópico no Amazon SNS e uma regra na Amazon. EventBridge Para obter mais informações sobre a concessão de permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Manual do usuário do IAM* ou o guia do serviço para o qual você deseja configurar acesso.
+ Você tem acesso a um bucket existente do Amazon Simple Storage Service (Amazon S3) (ou você tem permissões para criar um bucket) para receber CloudTrail o log que você configurou na etapa 1.

**Importante**  
Atualmente, AWS Organizations está hospedado somente na região Leste dos EUA (Norte da Virgínia) (embora esteja disponível globalmente). Para executar as etapas deste tutorial, você deve configurar o Console de gerenciamento da AWS para usar essa região. 

## Etapa 1: configurar um seletor de eventos e trilhas
<a name="tutorial-cwe-step1"></a>

Nesta etapa, você faz login na conta gerencial e configura um log (chamado de *trilha*) no AWS CloudTrail. Você também configura um seletor de eventos na trilha para capturar todas as chamadas de read/write API para que a Amazon EventBridge tenha chamadas para ativar.

**Para criar uma trilha**

1. Faça login AWS como administrador da conta de gerenciamento da organização e abra o CloudTrail console em[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Na barra de navegação no canto superior direito do console, escolha a região **US East (N. Virginia) (Leste dos EUA (Norte da Virgínia))**. Se você escolher uma região diferente, AWS Organizations não aparece como uma opção nas EventBridge configurações da Amazon e CloudTrail não captura informações sobre AWS Organizations.

1. No painel de navegação, selecione **Trilhas**.

1. Escolha **Create Trail (Criar trilha)**.

1. Em **Trail name (Nome da trilha)**, digite **My-Test-Trail**. 

1. Execute uma das opções a seguir para especificar onde CloudTrail entregar seus registros:
   + Se precisar criar um bucket, escolha **Create new S3 bucket** (Criar um novo bucket do S3) e, em **Trail log bucket and folder** (Bucket e pasta de log de trilha), insira um nome para o novo bucket.
**nota**  
Os nomes de buckets do S3 devem ser exclusivos ***globalmente***.
   + Se você já tiver um bucket, escolha **Use existing S3 bucket** (Usar bucket do S3 existente) e, em seguida, escolha o nome do bucket na lista **S3 bucket** (Buckets do S3).

1. Escolha **Próximo**.

1. Na página **Choose log events** (Escolher eventos de log), na seção **Management events** (Eventos de gerenciamento), escolha **Read** (Ler) e **Write** (Gravar).

1. Escolha **Próximo**.

1. Verifique suas seleções e escolha **Create trail** (Criar trilha).

A Amazon EventBridge permite que você escolha entre várias maneiras diferentes de enviar alertas quando uma regra de alarme corresponde a uma chamada de API recebida. Este tutorial demonstra dois métodos: invocar uma função do Lambda que pode registrar a chamada de API no log e enviar informações para um tópico do Amazon SNS que envia um e-mail ou mensagem de texto para os assinantes do tópico. Nas duas próximas etapas, você criará os componentes necessários: a função do Lambda e o tópico do Amazon SNS.

## Etapa 2: Configurar uma função do Lambda
<a name="tutorial-cwe-step2"></a>

Nesta etapa, você cria uma função Lambda que registra a atividade da API que é enviada a ela pela EventBridge regra da Amazon que você configura posteriormente.

**Para criar uma função Lambda que registra eventos da Amazon EventBridge**

1. Abra o AWS Lambda console em[https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).

1. Se você não tiver familiaridade com o Lambda, escolha **Get Started Now** (Começar a usar agora) na página de boas-vindas. Caso contrário, escolha **Create function** (Criar função).

1. Na página **Create function (Criar função)**, selecione **Usar um blueprint (Usar um esquema)**.

1. Na caixa de pesquisa **Blueprints (Esquemas)**, digite**hello** para o filtro e escolha o esquema **hello-world**.

1. Selecione **Configurar**.

1. Na página **Basic information (Informações básicas)**, faça o seguinte:

   1. No nome da função do Lambda, insira **LogOrganizationEvents** na caixa de texto **Name (Nome)**. 

   1. Em **Role (Função)**, escolha **Create a new role with basic Lambda permissions (Criar uma nova função com permissões básicas do Lambda)**. Essa função concede à sua função do Lambda permissões para acessar os dados necessários e para gravar seu log de saída.

1. Edite o código da função do Lambda, conforme mostrado no exemplo a seguir.

   ```
   console.log('Loading function');
   
   exports.handler = async (event, context) => {
       console.log('LogOrganizationsEvents');
       console.log('Received event:', JSON.stringify(event, null, 2));
       return event.key1;  // Echo back the first key value
       // throw new Error('Something went wrong');
   };
   ```

   Este código de exemplo registra o evento em log com uma string do marcador **LogOrganizationEvents** seguida pela string JSON que compõe o evento.

1. Escolha a opção **Criar função**. 

## Etapa 3: Criar um tópico do Amazon SNS que envia e-mails para assinantes
<a name="tutorial-cwe-step3"></a>

Nesta etapa, você cria um tópico do Amazon SNS que envia informações por e-mail a seus assinantes. Você faz desse tópico um alvo da EventBridge regra da Amazon que você criará posteriormente.

**Para criar um tópico do Amazon SNS para enviar um e-mail aos assinantes**

1. Abra o console do Amazon SNS em [https://console.aws.amazon.com/sns/v3/](https://console.aws.amazon.com/sns/v3/). 

1. No painel de navegação, escolha **Topics** (Tópicos).

1. Selecione **Create new topic** (Criar novo tópico).

   1. Em **Topic name (Nome do tópico)**, digite **OrganizationsCloudWatchTopic**.

   1. Em **Display name (Nome de exibição)**, digite **OrgsCWEvnt**.

   1. Escolha **Criar tópico**.

1. Agora você pode criar uma assinatura para o tópico. Escolha o ARN para o tópico que você acabou de criar.

1. Selecione **Criar assinatura**.

   1. Na página **Create subscription (Criar assinatura)**, em **Protocol (Protocolo)**, selecione **Email (E-mail)**.

   1. Para **Endpoint**, insira seu endereço de e-mail.

   1. Escolha **Criar assinatura**. AWS envia um e-mail para o endereço de e-mail que você especificou na etapa anterior. Aguarde até o e-mail chegar e, em seguida, clique no link **Confirmar assinatura** no e-mail para verificar se você recebeu o e-mail corretamente.

   1. Volte ao console e atualize a página. A mensagem **Confirmação pendente** desaparece e é substituída pelo ID de assinatura agora válido.

## Etapa 4: criar uma EventBridge regra da Amazon
<a name="tutorial-cwe-step4"></a>

Agora que a função Lambda necessária existe em sua conta, você cria uma EventBridge regra da Amazon que a invoca quando os critérios da regra são atendidos.

**Para criar uma EventBridge regra**

1. Abra o EventBridge console da Amazon em[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/). 

1. Defina o console para a região **US East (N. Virginia)** (Leste dos EUA [Norte da Virgínia]) ou as informações sobre o Organizations não estarão disponíveis. Na barra de navegação no canto superior direito do console, escolha a região **US East (N. Virginia) (Leste dos EUA (Norte da Virgínia))**.

1. Para obter instruções sobre a criação de regras, consulte [Regras na Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) no guia EventBridge do usuário da Amazon.

## Etapa 5: Teste sua EventBridge regra da Amazon
<a name="tutorial-cwe-step5"></a>

Nesta etapa, você cria uma unidade organizacional (OU) e observa a EventBridge regra da Amazon, gera uma entrada de registro e envia um e-mail para si mesmo com detalhes sobre o evento.

------
#### [ Console de gerenciamento da AWS ]

**Para criar uma OU**

1. Abra o AWS Organizations console na [**Contas da AWS**página](https://console.aws.amazon.com/organizations/v2/home/accounts). 

1.  Escolha a caixa de seleção ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/checkbox-selected.png) **Root OU (UO raiz)**, escolha **Actions (Ações)**e, em **Organizational unit (Unidade organizacional)**, escolha **Create (Criar)**.

1. No nome da UO, digite **TestCWEOU** e escolha **Create organizational unit (Criar unidade organizacional)**.

------

**Para ver a entrada do EventBridge registro**

1. Abra o CloudWatch console em[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Na página de navegação, escolha **Logs**.

1. **Em **Grupos de registros**, escolha o grupo associado à sua função Lambda:/. aws/lambda/LogOrganizationEvents**

1. Cada grupo contém um ou mais streams e deve haver um grupo para hoje. Escolha-o.

1. Visualize o log. Você deve ver linhas semelhantes às seguintes:  
![\[Exemplo de registro de CloudWatch eventos mostrando detalhes da chamada da API Organizations\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/tutorial-sample-CWE-log.png)

1. Selecione a linha do meio da entrada para ver o texto JSON completo do evento recebido. Você pode ver todos os detalhes da solicitação da API nas partes `requestParameters` e `responseElements` da saída:

   ```
   2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
   {
       "version": "0",
       "id": "123456-EXAMPLE-GUID-123456",
       "detail-type": "AWS API Call via CloudTrail",
       "source": "aws.organizations",
       "account": "123456789012",
       "time": "2017-03-09T22:44:26Z",
       "region": "us-east-1",
       "resources": [],
       "detail": {
           "eventVersion": "1.04",
           "userIdentity": {
               ...
           },
           "eventTime": "2017-03-09T22:44:26Z",
           "eventSource": "organizations.amazonaws.com",
           "eventName": "CreateOrganizationalUnit",
           "awsRegion": "us-east-1",
           "sourceIPAddress": "192.168.0.1",
           "userAgent": "AWS Organizations Console, aws-internal/3",
           "requestParameters": {
               "parentId": "r-exampleRootId",
               "name": "TestCWEOU"
           },
           "responseElements": {
               "organizationalUnit": {
                   "name": "TestCWEOU",
                   "id": "ou-exampleRootId-exampleOUId",
                   "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId",
                   "path": "o-exampleOrgId/r-exampleRootId/ou-exampleRootId-exampleOUId/"
               }
           },
           "requestID": "123456-EXAMPLE-GUID-123456",
           "eventID": "123456-EXAMPLE-GUID-123456",
           "eventType": "AwsApiCall"
       }
   }
   ```

1. Verifique se há uma mensagem de **Orgs** em sua conta de e-mail CWEvnt (o nome de exibição do seu tópico do Amazon SNS). O corpo do e-mail contém a mesma saída de texto JSON que a entrada de log mostrada na etapa anterior.

## Limpar: remover os recursos que não são mais necessários
<a name="clean-up-resources"></a>

Para evitar cobranças, você deve excluir todos AWS os recursos que você criou como parte deste tutorial e que não deseja manter.

**Para limpar seu AWS ambiente**

1. Use o [CloudTrail console](https://console.aws.amazon.com/cloudtrail/) para excluir a trilha chamada **My-Test-Trail** que você criou na etapa 1.

1. Se você criou um bucket do Amazon S3 na etapa 1, use o [console do Amazon S3](https://console.aws.amazon.com/s3/) para excluí-lo.

1. Use o [console do Lambda](https://console.aws.amazon.com/lambda/) para excluir a função chamada **LogOrganizationEvents** que você criou na etapa 2.

1. Use o [console do Amazon SNS](https://console.aws.amazon.com/sns/) para excluir o tópico do Amazon SNS chamado **OrganizationsCloudWatchTopic** que você criou na etapa 3.

1. Use o [CloudWatch console](https://console.aws.amazon.com/cloudwatch/) para excluir a EventBridge regra chamada **OrgsMonitorRule** que você criou na etapa 4.

1. Use o [console do Organizations](https://console.aws.amazon.com/organizations/) para excluir a UO denominada **TestCWEOU** que você criou na etapa 5.

Isso é tudo. Neste tutorial, você configurou EventBridge para monitorar mudanças em sua organização. Você configurou uma regra que é acionada quando os usuários invocam operações específicas do AWS Organizations . A regra executou uma função do Lambda que registrou o evento no log e enviou um e-mail com detalhes sobre o evento.