Tutorial: Pantau perubahan penting pada organisasi Anda dengan Amazon EventBridge - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Pantau perubahan penting pada organisasi Anda dengan Amazon EventBridge

Tutorial ini menunjukkan cara mengkonfigurasi Amazon EventBridge, sebelumnya Amazon CloudWatch Events, untuk memantau organisasi Anda untuk perubahan. Anda mulai dengan mengonfigurasi aturan yang dipicu saat pengguna memanggil tertentu AWS Organizations operasi. Selanjutnya, Anda mengonfigurasi Amazon EventBridge untuk menjalankan AWS Lambda berfungsi saat aturan dipicu, dan Anda mengonfigurasi Amazon SNS untuk mengirim email dengan detail tentang acara tersebut.

Ilustrasi berikut menunjukkan langkah-langkah utama dari tutorial tersebut.

Five-step process for creating and configuring Layanan AWS, from trail creation to rule testing.

Langkah 1: Mengonfigurasi jejak dan pemilih peristiwa

Buat log, yang disebut jejak, di AWS CloudTrail. Anda mengonfigurasinya untuk menangkap semua API panggilan.

Langkah 2: Mengonfigurasi fungsi Lambda

Buat sebuah AWS Lambda fungsi yang mencatat detail tentang acara ke bucket S3.

Langkah 3: Buat SNS topik Amazon yang mengirim email ke pelanggan

Buat SNS topik Amazon yang mengirim email ke pelanggannya, lalu berlangganan sendiri ke topik tersebut.

Langkah 4: Buat EventBridge aturan Amazon

Buat aturan yang memberi tahu Amazon EventBridge untuk meneruskan detail API panggilan tertentu ke fungsi Lambda dan ke SNS topik pelanggan.

Langkah 5: Uji EventBridge aturan Amazon Anda

Uji aturan baru Anda dengan menjalankan salah satu operasi yang dipantau. Dalam tutorial ini, operasi yang dipantau sedang membuat sebuah unit organisasi (OU). Anda melihat entri log yang dibuat oleh fungsi Lambda, dan Anda melihat email yang SNS dikirimkan Amazon ke pelanggan.

Kiat

Anda juga dapat menggunakan tutorial ini sebagai panduan dalam mengonfigurasi operasi serupa, seperti mengirim notifikasi email saat pembuatan akun selesai. Karena pembuatan akun adalah operasi tak serempak, maka Anda tidak akan mendapatkan notifikasi secara default setelah selesai. Untuk informasi lebih lanjut tentang penggunaan AWS CloudTrail Amazon EventBridge dengan AWS Organizations, lihat Penebangan dan pemantauan di AWS Organizations.

Prasyarat

Tutorial ini mengasumsikan hal berikut:

  • Anda dapat masuk ke AWS Management Console sebagai IAM pengguna dari akun manajemen di organisasi Anda. IAMPengguna harus memiliki izin untuk membuat dan mengonfigurasi log in CloudTrail, fungsi di Lambda, topik di SNS Amazon, dan aturan di Amazon. EventBridge Untuk informasi selengkapnya tentang pemberian izin, lihat Manajemen Akses di Panduan IAM Pengguna, atau panduan untuk layanan yang ingin Anda konfigurasi aksesnya.

  • Anda memiliki akses ke bucket Amazon Simple Storage Service (Amazon S3) yang sudah ada (atau Anda memiliki izin untuk membuat bucket) untuk menerima log yang Anda konfigurasikan CloudTrail pada langkah 1.

penting

Saat ini, AWS Organizations hanya diselenggarakan di Wilayah AS Timur (Virginia N.) (meskipun tersedia secara global). Untuk melakukan langkah-langkah dalam tutorial ini, Anda harus mengkonfigurasi AWS Management Console untuk menggunakan wilayah tersebut.

Langkah 1: Mengonfigurasi jejak dan pemilih peristiwa

Pada langkah ini, Anda masuk ke akun manajemen dan mengonfigurasi log (disebut jejak) di AWS CloudTrail. Anda juga mengonfigurasi pemilih acara di jalur untuk menangkap semua panggilan baca/tulis sehingga Amazon EventBridge memiliki API panggilan untuk dipicu.

Untuk membuat jejak
  1. Masuk ke AWS sebagai administrator akun manajemen organisasi dan kemudian buka CloudTrail konsol dihttps://console.aws.amazon.com/cloudtrail/.

  2. Pada bilah navigasi yang ada di sudut kanan atas konsol, pilih opsi Wilayah US East (N. Virginia). Jika Anda memilih wilayah yang berbeda, AWS Organizations tidak muncul sebagai opsi di pengaturan EventBridge konfigurasi Amazon, dan CloudTrail tidak menangkap informasi tentang AWS Organizations.

  3. Di panel navigasi, pilih Jejak.

  4. Pilih Buat jejak.

  5. Untuk Nama jejak, masukkan My-Test-Trail.

  6. Lakukan salah satu opsi berikut untuk menentukan di CloudTrail mana akan mengirimkan lognya:

    • Jika Anda perlu membuat bucket, pilih Create new S3 bucket dan kemudian, untuk Trail log bucket dan folder, masukkan nama untuk bucket baru.

      catatan

      Nama bucket S3 harus unik secara global.

    • Jika Anda sudah memiliki bucket, pilih Use existing S3 bucket lalu pilih nama bucket dari bucket list S3.

  7. Pilih Berikutnya.

  8. Pada halaman Pilih peristiwa log, di bagian Manajemen peristiwa, pilih Baca dan Tulis.

  9. Pilih Berikutnya.

  10. Tinjau pilihan Anda dan pilih Buat jejak.

Amazon EventBridge memungkinkan Anda memilih dari beberapa cara berbeda untuk mengirim peringatan saat aturan alarm cocok dengan panggilan masukAPI. Tutorial ini menunjukkan dua metode: menjalankan fungsi Lambda yang dapat mencatat API panggilan dan mengirim informasi ke SNS topik Amazon yang mengirim email atau pesan teks ke pelanggan topik. Dalam dua langkah berikutnya, Anda membuat komponen yang Anda butuhkan: fungsi Lambda, dan topik AmazonSNS.

Langkah 2: Mengonfigurasi fungsi Lambda

Pada langkah ini, Anda membuat fungsi Lambda yang mencatat API aktivitas yang dikirim kepadanya oleh EventBridge aturan Amazon yang Anda konfigurasikan nanti.

Untuk membuat fungsi Lambda yang mencatat peristiwa Amazon EventBridge
  1. Buka AWS Lambda konsol dihttps://console.aws.amazon.com/lambda/.

  2. Jika Anda baru mengenal Lambda, pilih Mulai Sekarang di halaman selamat datang; jika tidak, pilih Buat fungsi.

  3. Pada halaman Buat fungsi, pilih Gunakan cetak biru.

  4. Dari kotak pencarian Cetak biru, masukkan hello untuk filter dan pilih cetak biru hello-world.

  5. Pilih Konfigurasi.

  6. Di halaman Informasi Basic, lakukan hal berikut:

    1. Untuk nama fungsi Lambda, masukkan LogOrganizationEvents di kotak teks Nama.

    2. Untuk Peran, pilih Buat peran baru dengan izin Lambda dasar. Peran ini memberikan izin fungsi Lambda Anda untuk mengakses data yang dibutuhkan dan menulis log outputnya.

  7. Edit kode fungsi Lambda, seperti yang ditunjukkan pada contoh berikut.

    console.log('Loading function'); exports.handler = async (event, context) => { console.log('LogOrganizationsEvents'); console.log('Received event:', JSON.stringify(event, null, 2)); return event.key1; // Echo back the first key value // throw new Error('Something went wrong'); };

    Kode sampel ini mencatat peristiwa dengan string LogOrganizationEvents penanda diikuti oleh JSON string yang membentuk acara.

  8. Pilih Buat fungsi.

Langkah 3: Buat SNS topik Amazon yang mengirim email ke pelanggan

Pada langkah ini, Anda membuat SNS topik Amazon yang mengirimkan informasi melalui email ke pelanggannya. Anda menjadikan topik ini sebagai target EventBridge aturan Amazon yang Anda buat nanti.

Untuk membuat SNS topik Amazon untuk mengirim email ke pelanggan
  1. Buka SNS konsol Amazon dihttps://console.aws.amazon.com/sns/v3/.

  2. Di panel navigasi, pilih Topik.

  3. Pilih Buat topik baru.

    1. Untuk Nama topik, masukkan OrganizationsCloudWatchTopic.

    2. Untuk Nama tampilan, masukkan OrgsCWEvnt.

    3. Pilih Buat topik.

  4. Sekarang Anda bisa membuat langganan untuk topik ini. Pilih ARN untuk topik yang baru saja Anda buat.

  5. Pilih Buat berlangganan.

    1. Pada halaman Buat langganan, untuk Protokol, pilih Email.

    2. Untuk Titik Akhir, masukkan alamat email Anda.

    3. Pilih Buat langganan. AWS mengirim email ke alamat email yang Anda tentukan pada langkah sebelumnya. Tunggu sampai email tersebut tiba, lalu pilih Konfirmasi langganan pada tautan email untuk memverifikasi bahwa Anda berhasil menerima email.

    4. Lalu, kembali ke konsol tersebut dan segarkan halaman. Pesan Konfirmasi menunggu hilang dan sekarang digantikan oleh ID langganan yang berlaku.

Langkah 4: Buat EventBridge aturan Amazon

Sekarang setelah fungsi Lambda yang diperlukan ada di akun Anda, Anda membuat EventBridge aturan Amazon yang memanggilnya saat kriteria dalam aturan terpenuhi.

Untuk membuat EventBridge aturan
  1. Buka EventBridge konsol Amazon dihttps://console.aws.amazon.com/events/.

  2. Setel konsol ke Wilayah AS Timur (Virginia Utara) atau informasi tentang Organizations tidak tersedia. Pada bilah navigasi yang ada di sudut kanan atas konsol, pilih opsi Wilayah US East (N. Virginia).

  3. Untuk petunjuk cara membuat aturan, lihat Memulai Amazon EventBridge di panduan EventBridge pengguna Amazon.

Langkah 5: Uji EventBridge aturan Amazon Anda

Pada langkah ini, Anda membuat unit organisasi (OU) dan mengamati EventBridge aturan Amazon, membuat entri log, dan mengirim email kepada diri Anda sendiri dengan detail tentang acara tersebut.

AWS Management Console
Untuk membuat OU
  1. Buka AWS Organizations konsol ke Akun AWShalaman.

  2. Pilih kotak centang Blue checkmark icon indicating confirmation or completion of a task. OU Root, pilih Tindakan, dan kemudian di bawah Unit organisasi, pilih Buat baru.

  3. Untuk nama OU, masukkan TestCWEOU lalu pilih Buat unit organisasi.

Untuk melihat entri EventBridge log
  1. Buka CloudWatch konsol dihttps://console.aws.amazon.com/cloudwatch/.

  2. Di halaman navigasi, pilih Log.

  3. Di bawah Grup Log, pilih grup yang terkait dengan fungsi Lambda Anda: /aws/lambda/. LogOrganizationEvents

  4. Setiap grup berisi satu atau lebih pengaliran, dan harus ada satu grup untuk hari ini. Pilih itu.

  5. Lihat log. Anda akan melihat baris yang serupa dengan yang berikut.

    Log entries showing event reception with timestamp, version, and ID details.
  6. Pilih baris tengah entri untuk melihat JSON teks lengkap dari acara yang diterima. Anda dapat melihat semua detail API permintaan di requestParameters dan responseElements potongan output.

    2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event: { "version": "0", "id": "123456-EXAMPLE-GUID-123456", "detail-type": "AWS API Call via CloudTrail", "source": "aws.organizations", "account": "123456789012", "time": "2017-03-09T22:44:26Z", "region": "us-east-1", "resources": [], "detail": { "eventVersion": "1.04", "userIdentity": { ... }, "eventTime": "2017-03-09T22:44:26Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "192.168.0.1", "userAgent": "AWS Organizations Console, aws-internal/3", "requestParameters": { "parentId": "r-exampleRootId", "name": "TestCWEOU" }, "responseElements": { "organizationalUnit": { "name": "TestCWEOU", "id": "ou-exampleRootId-exampleOUId", "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId" } }, "requestID": "123456-EXAMPLE-GUID-123456", "eventID": "123456-EXAMPLE-GUID-123456", "eventType": "AwsApiCall" } }
  7. Periksa akun email Anda untuk pesan dari O rgsCWEvnt (nama tampilan SNS topik Amazon Anda). Tubuh email berisi output JSON teks yang sama dengan entri log yang ditampilkan pada langkah sebelumnya.

Bersihkan: Hapus sumber daya yang tidak Anda butuhkan lagi

Untuk menghindari biaya yang timbul, Anda harus menghapus AWS sumber daya yang Anda buat sebagai bagian dari tutorial ini yang tidak ingin Anda simpan.

Untuk membersihkan Anda AWS lingkungan
  1. Gunakan CloudTrail konsol untuk menghapus jejak bernama My-Test-Trail yang Anda buat di langkah 1.

  2. Jika Anda membuat bucket Amazon S3 pada langkah 1, gunakan Konsol Amazon S3 untuk menghapusnya.

  3. Gunakan Konsol Lambda untuk menghapus fungsi bernama LogOrganizationEvents yang Anda buat di langkah 2.

  4. Gunakan SNSkonsol Amazon untuk menghapus SNS topik Amazon bernama OrganizationsCloudWatchTopic yang Anda buat di langkah 3.

  5. Gunakan CloudWatch konsol untuk menghapus EventBridge aturan bernama OrgsMonitorRule yang Anda buat di langkah 4.

  6. Akhirnya, gunakan Konsol Organizations untuk menghapus OU bernama TestCWEOU yang Anda buat pada langkah 5.

Selesai. Dalam tutorial ini, Anda dikonfigurasi EventBridge untuk memantau organisasi Anda untuk perubahan. Anda mengonfigurasi aturan yang dipicu saat pengguna memanggil tertentu AWS Organizations operasi. Aturan tersebut menjalankan fungsi Lambda yang mencatat peristiwa dan mengirim email yang berisi detail tentang peristiwa tersebut.