チュートリアル: AWS CloudTrail API 呼び出し用の Amazon EventBridge ルールを作成する - Amazon EventBridge

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: AWS CloudTrail API 呼び出し用の Amazon EventBridge ルールを作成する

イベントを生成しない AWS のサービスによって、アクションでトリガーするルールを作成するには、そのサービスによる API コールをルールのベースにできます。API コールは AWS CloudTrail によって記録されます。ルールのトリガーとして使用できる API コールの詳細については、「CloudTrail イベント履歴でサポートされるサービス」を参照してください。

EventBridge のルールは、作成されたリージョンでのみ機能します。複数のリージョンで API コールを追跡するように CloudTrail を設定し、これらの各リージョンで CloudTrail に基づくルールをトリガーする場合は、追跡するリージョンごとに別個のルールを作成する必要があります。

CloudTrail 経由で配信されるイベントはすべて、AWS API Call via CloudTrailの値としてdetail-type。キーワードで始まる API アクションからのイベントListGet, またはDescribeは EventBridge によって処理されません。ただし、次の AWS STS アクションのイベントは例外です。

  • GetFederationToken

  • GetSessionToken

注記

ルールが繰り返し開始される無限ループにつながるルールを誤って作成する可能性があります。たとえば、S3 バケットで ACL が変更されたことを検出し、ソフトウェアをトリガーして ACL を目的の状態に変更するルールがあるとします。このルールが慎重に記述されていない場合は、その後 ACL を変更するとルールが再び開始され、無限ループが作成されます。

これを防ぐには、トリガーされたアクションが同じルールを再び開始しないようにルールを記述します。たとえば、変更された後ではなく、エラー状態にある ACL が見つかった場合にのみ、ルールが開始されるようにします。

無限ループにより、予想よりも高い料金がすぐに発生する可能性があります。指定したクォータを料金が超えるとアラートで知らせる予算設定を使用することをお勧めします。詳細については、「」を参照してください。Budgets を使用したコストの管理()AWS Billing and Cost Management ユーザーガイド

CloudTrail 経由の API コールでトリガーするルールを作成するには

  1. Amazon EventBridge コンソール (https://console.aws.amazon.com/events/) を開きます。

  2. ナビゲーションペインで [ルール] を選択します。

  3. [Create rule] を選択します。

  4. ルールの名前と説明を入力します。

    ルールには、同じリージョン内および同じイベントバス上の別のルールと同じ名前を付けることはできません。

  5. [Define pattern (パターンの定義)] で、[Event pattern (イベントパターン)] を選択します。

  6. [Pre-defined pattern by service (サービスによる定義済みパターン)] を選択します。

  7. [Service provider (サービスプロバイダー)] で、[AWS] を選択します。

  8. を使用する場合サービス名] で、CloudTrail

  9. [イベントタイプ] で、[AWS API Call via CloudTrail] を選択します。

    イベントパターンをカスタマイズする場合は、[Edit (編集)] を選択して変更を加え、[Save (保存)] を選択します。

  10. [Select event bus (イベントバスを選択)] で、[AWS default event bus (AWSデフォルトイベントバス)] を選択します。アカウントの AWS サービスがイベントを発行すると、常にアカウントのデフォルトのイベントバスに移動します。

  11. を使用する場合ターゲットで、送信するターゲットを 5 つまで選択します。CloudTrail 経由の AWS API コールへ。選択したターゲットの追加設定を構成します。追加の設定はターゲットによって異なります。

    多くのターゲット型 (Step Functions ステートマシンで、EventBridge はターゲットリソースにイベントを送信するためのアクセス許可が必要です。これらの場合、EventBridge は、ルールの実行に必要な IAM ロールを作成できます。

    • IAM ロールを自動的に作成するには、[] を選択します。この特定のリソースの新しいロールを作成する

    • 以前に作成した IAM ロールを使用するには、[] を選択します。既存のロールの使用

  12. を使用する場合ポリシーとデッドレターキューを再試行する:] で、ポリシーを再試行する:

    1. を使用する場合イベントの最大有効期間に、1 分 (00:01) から 24 時間 (24:00) までの値を入力します。

    2. を使用する場合再試行に、0 から 185 までの数値を入力します。

  13. を使用する場合デッドレターキューで、デッドレターキューとして標準の Amazon SQS キューを使用するかどうかを選択します。EventBridge は、ターゲットに正常に配信されなかった場合に、このルールに一致するイベントをデッドレターキューに送信します。次のいずれかを行ってください。

    • 選択なしデッドレターキューを使用しないようにします。

    • 選択デッドレターキューとして使用する、現在の AWS アカウントの Amazon SQS キューを選択します。] をクリックし、使用するキューをドロップダウンリストから選択します。

    • 選択他の AWS アカウントの Amazon SQS キューをデッドレターキューとして選択する] をクリックし、使用するキューの ARN を入力します。EventBridge にメッセージを送信するアクセス許可を付与するリソースベースのポリシーをキューにアタッチする必要があります。詳細については、「デッドレターキューへのアクセス許可を与える」を参照してください。

  14. (オプション) [Add target (ターゲットの追加)] を選択して、このルールに別のターゲットを追加します。

  15. (オプション) ルールに1 つ以上のタグを入力します。詳細については、「Amazon EventBridge SaaS タグ付け」を参照してください。

  16. [Create] を選択します。