Amazon CloudWatch Events 新增跨账户事件传递特性

近日，Amazon Web Services（AWS）在Amazon CloudWatch Events 中引入了跨账户事件传递特性，可以为跟踪组织事件、在单独的账户中处理事件实现高级安全策略等场景提供支持。

Amazon CloudWatch Events 是 Amazon CloudWatch （之前报道过）的一部分，提供一个“近乎实时的事件流”，让你可以使用规则将匹配出的事件路由到一个或多个目标，“跟踪和响应AWS 资源的变化”。在一篇介绍性博文中，Jeff Barr（AWS 首席宣传官）将CloudWatch Events视为“AWS 环境的合格中枢神经系统”。相应地，除了为大多数服务提供读/ 写API 调用事件支持外，随着 AWS Step Functions 、 Amazon ECS 、 Amazon Kinesis Firehose 、 AWS CodeBuild 和 AWS CodePipeline 等新服务的推出，特定于服务的事件类型和目标清单频繁增加。

CloudWatch Events 现在可以在 AWS 账户之间发送和接收事件，为高级的应用场景和拓扑提供支持，如扇入，在一个地方处理来自多个账户的事件，或者扇出，将不同类型的事件路由到不同的账户（为了避免无限循环，源于另外一个账户的事件不会被发送到第三个账户），例如：

• 以组织为单位汇总——跟踪多个账户或由 AWS Organizations （之前报道过）托管的整个组织的事件；
• 有界安全上下文——响应为了实现关注分离而设置的专用和隔离账户中安全相关的事件。

目前，AWS 仅允许一个账户拥有一条事件总线，“将来计划允许多条”。与之关联的访问策略会额外指定允许向接收账户事件总线发送事件的 AWS 账户集合。在默认情况下，接收账户的规则也会匹配源于其他账户的事件。这可以通过在规则事件模式的“账户”字段中指定一个或多个 AWS 账户 ID 来避免，从而得出如下跨账户事件处理的典型步骤：

• 在接收者账户中，授权一个或多个（或者全部）AWS 账户向其默认事件总线发送事件；
• 在发送者账户中，设置一条或多条规则，以接收者账户的默认事件总线为目标；
• 在接收者账户中，设置一条或多条规则，匹配来自一个或多个（或全部）AWS 账户的事件。

在相关的新闻报道中，Amazon CloudWatch Events 同时还支持在事件发送到目标之前对其进行输入转换，这样一来，“你就可以从事件JSON 中提取多个键- 值对，将其转换成满足你需要的数据”。此外，AWS 刚刚大幅提升了默认 CloudWatch Events 限制。对于许多其他的 AWS 服务限制，用户可以通过 AWS 支持中心发起提升限制请求，打破这些新增的默认值限制。

Amazon CloudWatch Events 文档提供了一份用户指南，其中包括入门部分、 AWS CLI 参考和 API 参考。技术支持通过 Amazon CloudWatch 论坛提供。CloudWatch Events 可以免费使用，除非是要摄入自定义事件和转发到另一个账户的事件，这时，该服务会根据自定义事件及相应的价格向发送账户收费。

查看英文原文： Amazon CloudWatch Events Gains Cross-Account Event Delivery