Erstellen einer CloudWatch Events-Regel, die bei einem AWS API-Aufruf mit AWS CloudTrail ausgelöst wird - Amazon CloudWatch Events

Erstellen einer CloudWatch Events-Regel, die bei einem AWS API-Aufruf mit AWS CloudTrail ausgelöst wird

Anmerkung

Amazon EventBridge ist die bevorzugte Methode zum Verwalten Ihrer Ereignisse. Amazon CloudWatch Events und EventBridge liegen der gleiche Service und die gleiche API zugrunde, EventBridge bietet jedoch mehr Funktionen. Änderungen, die Sie in CloudWatch oder EventBridge vornehmen, werden in jeder Konsole angezeigt. Weitere Informationen finden Sie unter Amazon EventBridge.

Zum Erstellen einer Regel, die bei einer Aktion durch einen AWS-Service ausgelöst wird, der keine Ereignisse ausgibt, können Sie die Regel auf API-Aufrufen basieren, die von diesem Service generiert werden. Die API-Aufrufe werden von aufgezeichnet AWS CloudTrail. Weitere Informationen zu den API-Aufrufen, die Sie als Trigger für Regeln verwenden können, finden Sie unter Services Supported by CloudTrail Event History.

Regeln in CloudWatch Events funktionieren nur in der Region, in der sie erstellt wurden. Wenn Sie CloudTrail konfigurieren, um API-Aufrufe in mehreren Regionen zu verfolgen, und Sie möchten eine Regel basierend auf CloudTrail in jeder dieser Regionen auslösen, müssen Sie in jeder Region, die Sie verfolgen möchten, eine eigene Regel erstellen.

Alle über CloudTrail bereitgestellten Ereignisse weisen für AWS API Call via CloudTrail den Wert detail-type auf.

Anmerkung

In CloudWatch Events ist die Erstellung von Regeln möglich, die zu Endlosschleifen führen. Bei diesen Schleifen wird eine Regel wiederholt ausgelöst. Eine Regel kann beispielsweise erkennen, dass sich ACLs in einem S3-Bucket geändert haben, und Software auslösen, die sie in den gewünschten Zustand ändern. Ist die Regel nicht sorgfältig geschrieben, löst die anschließende Änderung der ACLs die Regel erneut aus, wodurch eine Endlosschleife entsteht.

Um dies zu verhindern, schreiben Sie die Regeln so, dass die ausgelösten Aktionen nicht erneut die gleiche Regel auslösen. Beispielsweise können Sie die Regel nur auslösen lassen, wenn ACLs in einem schlechten Zustand erkannt werden, anstatt nach jeder Änderung.

Eine Endlosschleife kann schnell höhere Gebühren als erwartet verursachen. Wir empfehlen, dass Sie Budgetierung verwenden, um Warnungen zu erhalten, wenn die Gebühren das von Ihnen angegebene Limit überschreiten. Weitere Informationen finden Sie unter Verwalten der Kosten mit Budgets.

So erstellen Sie eine Regel, die bei einem API-Aufruf über CloudTrail ausgelöst wird:
  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Events und die Option Create rule aus.

  3. Führen Sie für Ereignisquelle folgende Schritte aus:

    1. Wählen Sie Event Pattern und Build event pattern to match events by service aus.

    2. Wählen Sie für Service Name den Service aus, der die als Trigger zu verwendenden API-Operationen verwendet.

    3. Wählen Sie für Event Type die Option AWSAWS API Call via CloudTrail aus.

    4. Um die Regel auszulösen, wenn eine API-Operation für diesen Service aufgerufen wird, wählen Sie Any operation aus. Um die Regel nur auszulösen, wenn bestimmte API-Operationen aufgerufen werden, wählen Sie Specific operation(s) (Spezifische Operation(en)) aus. Geben Sie dann im nächsten Feld den Namen einer Operation ein und drücken Sie die Eingabetaste. Zum Hinzufügen weiterer Operationen wählen Sie + aus +.

  4. Wählen Sie für Targets (Ziele) die Option Add Target (Ziel hinzufügen) aus, und wählen Sie dann den AWS-Service aus, der agieren soll, wenn ein Ereignis des ausgewählten Typs erkannt wird.

  5. Geben Sie in die anderen Felder in diesem Abschnitt Informationen ein, die für diesen Zieltyp spezifisch sind, sofern vorhanden.

  6. Für viele Zieltypen benötigt CloudWatch Events Berechtigungen zum Senden von Ereignissen an das Ziel. In diesen Fällen kann CloudWatch Events die IAM-Rolle erstellen, die zum Ausführen des Ereignisses erforderlich ist:

    • Um automatisch eine IAM-Rolle zu erstellen, wählen Sie Create a new role for this specific resource (Eine neue Rolle für diese spezifische Ressource erstellen).

    • Wenn Sie eine zuvor erstellte IAM-Rolle verwenden möchten, wählen Sie Use existing role (Vorhandene Rolle verwenden).

  7. Optional können Sie die Schritte 4 bis 6 wiederholen, um ein weiteres Ziel für diese Regel hinzuzufügen.

  8. Wählen Sie Configure details. Geben Sie für Rule definition einen Namen und eine Beschreibung für die Regel ein.

    Der Regelname muss innerhalb dieser Region eindeutig sein.

  9. Wählen Sie Create rule aus.