近日,Amazon Web Services(AWS)在Amazon CloudWatch Events中引入了跨賬戶事件傳遞特性,可以為跟蹤組織事件、在單獨的賬戶中處理事件實現高級安全策略等場景提供支持。
Amazon CloudWatch Events是Amazon CloudWatch(之前報道過)的一部分,提供一個“近乎實時的事件流”,讓你可以使用規則將匹配出的事件路由到一個或多個目標,“跟蹤和響應AWS資源的變化”。在一篇介紹性博文中,Jeff Barr(AWS首席宣傳官)將CloudWatch Events視為“AWS環境的合格中樞神經系統”。相應地,除了為大多數服務提供讀/寫API調用事件支持外,隨著AWS Step Functions、Amazon ECS、Amazon Kinesis Firehose、AWS CodeBuild和AWS CodePipeline等新服務的推出,特定于服務的事件類型和目標清單頻繁增加。
CloudWatch Events現在可以在AWS賬戶之間發送和接收事件,為高級的應用場景和拓撲提供支持,如扇入,在一個地方處理來自多個賬戶的事件,或者扇出,將不同類型的事件路由到不同的賬戶(為了避免無限循環,源于另外一個賬戶的事件不會被發送到第三個賬戶),例如:
以組織為單位匯總——跟蹤多個賬戶或由AWS Organizations(之前報道過)托管的整個組織的事件;有界安全上下文——響應為了實現關注分離而設置的專用和隔離賬戶中安全相關的事件。
目前,AWS僅允許一個賬戶擁有一條事件總線,“將來計劃允許多條”。與之關聯的訪問策略會額外指定允許向接收賬戶事件總線發送事件的AWS賬戶集合。在默認情況下,接收賬戶的規則也會匹配源于其他賬戶的事件。這可以通過在規則事件模式的“賬戶”字段中指定一個或多個AWS賬戶ID來避免,從而得出如下跨賬戶事件處理的典型步驟:
在接收者賬戶中,授權一個或多個(或者全部)AWS賬戶向其默認事件總線發送事件;在發送者賬戶中,設置一條或多條規則,以接收者賬戶的默認事件總線為目標;在接收者賬戶中,設置一條或多條規則,匹配來自一個或多個(或全部)AWS賬戶的事件。在相關的新聞報道中,Amazon CloudWatch Events同時還支持在事件發送到目標之前對其進行輸入轉換,這樣一來,“你就可以從事件JSON中提取多個鍵-值對,將其轉換成滿足你需要的數據”。此外,AWS剛剛大幅提升了默認CloudWatch Events限制。對于許多其他的AWS服務限制,用戶可以通過AWS支持中心發起提升限制請求,打破這些新增的默認值限制。
Amazon CloudWatch Events文檔提供了一份用戶指南,其中包括入門部分、AWS CLI參考和API參考。技術支持通過Amazon CloudWatch論壇提供。CloudWatch Events可以免費使用,除非是要攝入自定義事件和轉發到另一個賬戶的事件,這時,該服務會根據自定義事件及相應的價格向發送賬戶收費。
查看英文原文:Amazon CloudWatch Events Gains Cross-Account Event Delivery
京公網安備 11010502049343號