Tutorial: Überwachen wichtiger Änderungen an Ihrer Organisation mit Amazon EventBridge - AWS Organizations
VoraussetzungenSchritt 1: Konfigurieren einer Trail- und EreignisauswahlSchritt 2: Konfigurieren einer Lambda-Funktion Schritt 3: Erstellen Sie ein Amazon-SNS-Thema, das E-Mails an Abonnenten sendetSchritt 4: Erstellen einer Amazon-EventBridge-RegelSchritt 5: Testen Ihrer Amazon-EventBridge-RegelBereinigung: Entfernen der nicht mehr benötigten Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Überwachen wichtiger Änderungen an Ihrer Organisation mit Amazon EventBridge

In diesem Tutorial wird gezeigt, wie Amazon EventBridge, früher Amazon CloudWatch Events, zur Überwachung der Änderungen an Ihrer Organisation konfiguriert wird. Konfigurieren Sie zunächst eine Regel, die ausgelöst wird, wenn Benutzer bestimmte AWS Organizations-Operationen aufrufen. Dann konfigurieren Sie Amazon EventBridge so, dass beim Auslösen der Regel eine AWS Lambda-Funktion ausgeführt wird. Zudem konfigurieren Sie Amazon SNS so, dass eine E-Mail mit Details zum Ereignis versendet wird.

Die folgende Abbildung zeigt die wichtigsten Schritte der praktischen Anleitung.

Schritt 1: Konfigurieren einer Trail- und Ereignisauswahl

Erstellen Sie ein Protokoll namens in Trail in AWS CloudTrail. Es wird auf die Erfassung aller API-Aufrufe konfiguriert.

Schritt 2: Konfigurieren einer Lambda-Funktion

Erstellen Sie eine AWS Lambda-Funktion, die Details über das Ereignis in einem S3 Bucket protokolliert.

Schritt 3: Erstellen Sie ein Amazon-SNS-Thema, das E-Mails an Abonnenten sendet

Erstellen Sie ein Amazon-SNS-Thema, das E-Mails an Abonnenten sendet und abonnieren Sie das Thema selbst.

Schritt 4: Erstellen einer Amazon-EventBridge-Regel

Erstellen Sie eine Regel, die Amazon EventBridge anweist, Details zu bestimmten API-Aufrufen an die Lambda-Funktion und die SNS-Themaabonnenten weiterzuleiten.

Schritt 5: Testen Ihrer Amazon-EventBridge-Regel

Testen Sie die neue Regel, indem Sie eine der überwachten Operationen ausführen. In diesem Tutorial erstellt die überwachte Operation eine Organisationseinheit (OU). Sie zeigen den Protokolleintrag an, den die Lambda-Funktion erstellt, und Sie zeigen die E-Mail an, die von Amazon SNS an Abonnenten gesendet wird.

Tipp

Außerdem können Sie dieses Tutorial als Leitfaden beim Konfigurieren ähnlicher Operationen verwenden, wie z. B. das Senden von E-Mail-Benachrichtigungen, wenn die Kontoerstellung abgeschlossen ist. Da die Erstellung eines Kontos eine asynchrone Operation ist, werden Sie standardmäßig nicht benachrichtigt, wenn sie abgeschlossen ist. Weitere Informationen zur Verwendung von AWS CloudTrail und Amazon EventBridge mit AWS Organizations finden Sie unter Einloggen und Überwachen AWS Organizations.

Voraussetzungen

In diesem Tutorial wird von Folgendem ausgegangen:

  • Sie können sich in der AWS Management Console als IAM-Benutzer des Verwaltungskontos in Ihrer Organisation anmelden. Der IAM-Benutzer muss über Berechtigungen zum Erstellen und Konfigurieren eines Protokolls in CloudTrail, einer Funktion in Lambda, eines Themas in Amazon SNS und einer Regel in Amazon EventBridge verfügen. Weitere Informationen zum Erteilen von Berechtigungen finden Sie unter Access Management im IAM-Benutzerhandbuch oder im Leitfaden für den Service, für den Sie den Zugriff konfigurieren möchten.

  • Sie haben Zugriff auf einen vorhandenen Amazon-S3-Bucket (Amazon Simple Storage Service) (oder verfügen über die Berechtigung zum Erstellen eines Buckets), um das im ersten Schritt erstellte CloudTrail-Protokoll zu erhalten.

Wichtig

Derzeit wird AWS Organizations nur in der Region USA Ost (Nord-Virginia) bereitgestellt (auch wenn es weltweit verfügbar ist). Zum Ausführen der Schritte in diesem Tutorial müssen Sie die AWS Management Console für die Verwendung dieser Region konfigurieren.

Schritt 1: Konfigurieren einer Trail- und Ereignisauswahl

In diesem Schritt melden Sie sich am Verwaltungskonto an und konfigurieren ein Protokoll (namens Trail) in AWS CloudTrail. Außerdem konfigurieren Sie eine Ereignisauswahl auf dem Trail, um alle Lese-/Schreib-API-Aufrufe aufzuzeichnen, damit Amazon EventBridge über Aufrufe als Auslöser verfügt.

Sie erstellen einen Trail wie folgt:

  1. Melden Sie sich bei AWS als Administrator des Verwaltungskontos der Organisation an und öffnen Sie die CloudTrail-Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie in der Navigationsleiste in der oberen rechten Ecke der Konsole die Region USA Ost (Nord-Virginia) aus. Wenn Sie eine andere Region auswählen, wird AWS Organizations nicht als Option in den Amazon-EventBridge-Konfigurationseinstellungen angezeigt, und CloudTrail erfasst keine Informationen zu AWS Organizations.

  3. Wählen Sie im Navigationsbereich Trails aus.

  4. Wählen Sie Create Trail (Trail erstellen) aus.

  5. Geben Sie für Trail name (Trail-Name) den Namen My-Test-Trail ein.

  6. Führen Sie eine der folgenden Optionen aus, um anzugeben, wohin CloudTrail die Protokolle senden soll:

    • Wenn Sie einen Bucket erstellen müssen, wählen Sie Create a new S3 bucket (Neuen S3-Bucket erstellen) und geben Sie dann unter Trail log bucket and folder (Trail–Protokoll-Bucket und -Ordner) einen Namen für den neuen Bucket ein.

      Anmerkung

      S3-Bucket-Namen müssen global eindeutig sein.

    • Wenn Sie bereits einen Bucket haben, wählen Sie Use existing S3 bucket (Vorhandenen S3-Bucket verwenden) und anschließend den Bucket-Namen aus der Liste S3 bucket (S3-Bucket).

  7. Wählen Sie Weiter aus.

  8. Wählen Sie auf der Seite Choose log events (Protokollereignisse auswählen) im Abschnitt Management events (Verwaltungsereignisse) die Optionen Read (Lesen) und Write (Schreiben) aus.

  9. Wählen Sie Weiter aus.

  10. Prüfen Sie Ihre Auswahlen und wählen Sie dann Create trail (Trail erstellen).

Mit Amazon EventBridge können Sie zwischen verschiedenen Möglichkeiten zum Senden von Warnungen wählen, wenn eine Alarmregel mit einem eingehenden API-Aufruf übereinstimmt. In diesem Tutorial werden zwei Methoden gezeigt: das Aufrufen einer Lambda-Funktion, die den API-Aufruf protokollieren kann, und das Senden von Informationen an ein Amazon-SNS-Thema, das eine E-Mail oder Textnachricht an die Abonnenten des Themas sendet. In den nächsten zwei Schritten erstellen Sie die erforderlichen Komponenten: die Lambda-Funktion und das Amazon-SNS-Thema.

Schritt 2: Konfigurieren einer Lambda-Funktion

In diesem Schritt erstellen Sie eine Lambda-Funktion für die Protokollierung der API-Aktivität, die sie von der später noch zu konfigurierenden Amazon-EventBridge-Regel erhält.

So erstellen Sie eine Lambda-Funktion für die Protokollierung von Amazon–EventBridge-Ereignissen

  1. Öffnen Sie die AWS Lambda-Konsole unter https://console.aws.amazon.com/lambda/.

  2. Wenn Sie Lambda zum ersten Mal verwenden, wählen Sie auf der Willkommensseite Get Started Now (Erste Schritte); wählen Sie andernfalls Create function (Funktion erstellen) aus.

  3. Wählen Sie auf der Seite Create function (Funktion erstellen) die Option Use a blueprint (Blueprint verwenden) aus.

  4. Geben Sie im Suchfeld Blueprints den Suchbegriff hello für den Filter ein und wählen Sie den Blueprint hello-world aus.

  5. Wählen Sie Konfigurieren aus.

  6. Führen Sie auf der Seite Basic information (Grundlegende Informationen) folgende Schritte aus:

    1. Geben Sie für den Lambda-Funktionsnamen den Namen LogOrganizationEvents in das Textfeld Name ein.

    2. Wählen Sie unter Role (Rolle) die Option Create a new role with basic Lambda permissions (Eine neue Rolle mit den grundlegenden Lambda-Berechtigungen erstellen) aus. Diese Rolle gewährt Ihrer Lambda-Funktion die Berechtigung für den Zugriff auf die erforderlichen Daten zum Schreiben des Ausgabeprotokolls.

  7. Bearbeiten Sie den Code für die Lambda-Funktion wie im folgenden Beispiel:

    console.log('Loading function');

exports.handler = async (event, context) => {
    console.log('LogOrganizationsEvents');
    console.log('Received event:', JSON.stringify(event, null, 2));
    return event.key1;  // Echo back the first key value
    // throw new Error('Something went wrong');
};

    Mit diesem Beispiel-Code wird das Ereignis mit einer LogOrganizationEvents-Markierungsfolge gefolgt von der JSON-Zeichenfolge protokolliert, die das Ereignis ausmacht.

  8. Wählen Sie Create function (Funktion erstellen).

Schritt 3: Erstellen Sie ein Amazon-SNS-Thema, das E-Mails an Abonnenten sendet

In diesem Schritt erstellen Sie ein Amazon-SNS-Thema, das Informationen per E-Mail an Abonnenten sendet. Sie machen das Thema zum „Ziel“ der noch zu erstellenden Amazon-EventBridge-Regel.

So erstellen Sie ein Amazon-SNS-Thema zum Senden einer E-Mail an Abonnenten

  1. Öffnen Sie die Amazon-SNS-Konsole unter https://console.aws.amazon.com/sns/v3/.

  2. Wählen Sie im Navigationsbereich Topics (Themen) aus.

  3. Wählen Sie Create new topic (Neues Thema erstellen).

    1. Geben Sie in das Feld Topic name (Themenname) den Namen OrganizationsCloudWatchTopic.

    2. Geben Sie unter Display name (Anzeigename) OrgsCWEvnt ein.

    3. Wählen Sie Thema erstellen aus.

  4. Jetzt können Sie einen Abonnementen für das Thema erstellen. Wählen Sie die ARN für das Thema aus, das Sie soeben erstellt haben.

  5. Klicken Sie auf Create subscription (Abonnement erstellen).

    1. Wählen Sie auf der Seite Create subscription unter Protocol Email aus.

    2. Geben Sie unter Endpunkt Ihre E-Mail-Adresse ein.

    3. Wählen Sie Create subscription. AWS sendet eine E-Mail an die im vorherigen Schritt angegebene E-Mail-Adresse. Warten Sie, bis die E-Mail ankommt und wählen Sie dann den Link Confirm subscription darin aus, um den erfolgreichen Erhalt der E-Mail zu bestätigen.

    4. Kehren Sie zur Konsole zurück und aktualisieren Sie die Seite. Die Nachricht Pending confirmation wird ausgeblendet und durch die nun gültige Abonnement-ID ersetzt.

Schritt 4: Erstellen einer Amazon-EventBridge-Regel

Nachdem die erforderliche Lambda-Funktion nun in Ihrem Konto vorhanden ist, erstellen Sie eine Amazon-EventBridge-Regel zum Aufruf dieser Funktion, wenn die Kriterien in der Regel erfüllt sind.

So erstellen Sie eine EventBridge-Regel

  1. Öffnen Sie die Amazon-EventBridge-Konsole unter https://console.aws.amazon.com/events/.

  2. Stellen Sie die Konsole auf die Region USA Ost (Nord-Virginia) ein, da sonst keine Informationen zu Organizations verfügbar sind. Wählen Sie in der Navigationsleiste in der oberen rechten Ecke der Konsole die Region USA Ost (Nord-Virginia) aus.

  3. Weitere Informationen zum Erstellen von Amazon-EventBridge-Regeln finden Sie unter Erste Schritte mit Amazon EventBridge im Amazon-EventBridge-Benutzerhandbuch.

Schritt 5: Testen Ihrer Amazon-EventBridge-Regel

In diesem Schritt erstellen Sie eine Organisationseinheit (OU) und beobachten die Amazon-EventBridge-Regel, erstellen einen Protokolleintrag und senden sich selbst eine E-Mail mit Details zu dem Ereignis.

AWS Management Console
So erstellen Sie eine OU

  1. Öffnen Sie die Seite AWS Organizations-Konsole auf der AWS-Konten-Seite.

  2. Aktivieren Sie das Kontrollkästchen Root-OU, wählen Sie Aktionen und dann unter Organisationseinheit die Option Neu erstellen.

  3. Geben Sie als Namen der Organisationseinheit TestCWEOU ein und wählen Sie dann Create organizational unit (Organisationseinheit erstellen) aus.
So zeigen Sie den Protokolleintrag „EventBridge“ an

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie auf der Navigationsseite Logs (Protokolle).

  3. Wählen Sie auf der Seite Log Groups (Protokollgruppen) die Gruppe aus, die Ihrer -Funktion zugeordnet ist: /aws/lambda/LogOrganizationEvents.

  4. Jede Gruppe enthält mindestens einen Stream. Außerdem sollte eine Gruppe für heute vorhanden sein. Wählen Sie diese aus.

  5. Zeigen Sie das Protokoll an. Es sollten Zeilen angezeigt werden, die den folgenden ähneln:

  6. Wählen Sie die mittlere Zeile des Eintrags aus, um den vollständigen JSON-Text des erhaltenen Ereignisses anzuzeigen. Sie können alle Details der API-Anforderung in den requestParameters- und responseElements-Teilen der Ausgabe sehen.

    2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:
{
    "version": "0",
    "id": "123456-EXAMPLE-GUID-123456",
    "detail-type": "AWS API Call via CloudTrail",
    "source": "aws.organizations",
    "account": "123456789012",
    "time": "2017-03-09T22:44:26Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "eventVersion": "1.04",
        "userIdentity": {
            ...
        },
        "eventTime": "2017-03-09T22:44:26Z",
        "eventSource": "organizations.amazonaws.com",
        "eventName": "CreateOrganizationalUnit",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "192.168.0.1",
        "userAgent": "AWS Organizations Console, aws-internal/3",
        "requestParameters": {
            "parentId": "r-exampleRootId",
            "name": "TestCWEOU"
        },
        "responseElements": {
            "organizationalUnit": {
                "name": "TestCWEOU",
                "id": "ou-exampleRootId-exampleOUId",
                "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId"
            }
        },
        "requestID": "123456-EXAMPLE-GUID-123456",
        "eventID": "123456-EXAMPLE-GUID-123456",
        "eventType": "AwsApiCall"
    }
}

  7. Suchen Sie in Ihrem E-Mail-Konto eine Nachricht von OrgsCWEvnt (der Anzeigename Ihres Amazon-SNS-Themas). Der E-Mail-Text enthält den gleichen JSON-Text als Ausgabe, wie der im vorherigen Schritt gezeigte Protokolleintrag.

Bereinigung: Entfernen der nicht mehr benötigten Ressourcen

Um anfallende Gebühren zu vermeiden, sollten Sie alle für dieses Tutorial erstellten AWS-Ressourcen, die Sie nicht behalten möchten, löschen.

Bereinigen Ihrer AWS-Umgebung

  1. Verwenden Sie die CloudTrail-Konsole unter zum Löschen der Funktion namens My-Test-Trail, die Sie in Schritt 1 erstellt haben.

  2. Wenn Sie in Schritt 1 einen Amazon-S3-Bucket erstellt haben, verwenden Sie zum Löschen die Amazon-S3-Konsole.

  3. Verwenden Sie die Lambda-Konsole unter zum Löschen der Funktion namens LogOrganizationEvents, die Sie in Schritt 2 erstellt haben.

  4. Verwenden Sie die Amazon-SNS-Konsole, um das Amazon-SNS-Thema mit dem Namen OrganizationsCloudWatchTopic zu löschen, das Sie in Schritt 3 erstellt haben.

  5. Verwenden Sie die CloudWatch-Konsole zum Löschen der EventBridge-Regel namens OrgsMonitorRule, die Sie in Schritt 4 erstellt haben.

  6. Verwenden Sie abschließnd die Organizations-Konsole zum Löschen der Organisationseinheit mit dem Namen TestCWEOU, die Sie in Schritt 5 erstellt haben.

Das war's. In diesem Tutorial haben Sie EventBridge zur Überwachung der Änderungen an Ihrer Organisation konfiguriert. Sie haben eine Regel konfiguriert, die ausgelöst wird, wenn Benutzer bestimmte AWS Organizations-Operationen aufrufen. Mit der Regel wurde eine Lambda-Funktion ausgeführt, die mit der das Ereignis protokolliert und eine E-Mail mit Details zum Ereignis gesendet wurde.