Terraform 中 S3 存储桶的 AWS Cloudtrail 事件

【问题标题】:AWS Cloudtrail Event for S3 Bucket in TerraformTerraform 中 S3 存储桶的 AWS Cloudtrail 事件
【发布时间】:2021-05-06 20:28:36
【问题描述】:

我很难用 Beanstalk 和 Codepipeline 设置自动化...

我终于让它运行起来了,主要问题是 S3 Cloudwatch 事件触发了Codepipeline 的启动。我错过了必要的 Cloudtrail 部分,我在任何文档中都找不到。

所以当前的设置是: S3 文件被上传 -> CloudWatch 事件触发 Codepipeline -> Codepipeline 部署到 ElasticBeanstalk 环境。

正如我所说,要获得 CloudWatch 事件触发器,您需要一个 Cloudtrail 跟踪,例如:

resource "aws_cloudtrail" "example" {
  # ... other configuration ...
  name = "codepipeline-source-trail" #"codepipeline-${var.project_name}-trail"
  is_multi_region_trail = true
  s3_bucket_name = "codepipeline-cloudtrail-placeholder-bucket-eu-west-1"
  event_selector {
    read_write_type           = "WriteOnly"
    include_management_events = true

    data_resource {
      type = "AWS::S3::Object"

      values = ["${data.aws_s3_bucket.bamboo-deploy-bucket.arn}/${var.project_name}/file.zip"]
    }
  }
}

但这只是为了创造一个新的线索。问题是 AWS 最多只允许 5 条路径。在AWS console 上,您可以将多个数据事件添加到一条路径,但我无法在 terraform 中做到这一点。我尝试使用相同的名称,但这只会引发错误

“创建 CloudTrail 时出错:TrailAlreadyExistsException: Trail codepipeline-source-trail already exists for customer: XXXX”

我已尽力解释我的问题。不确定是否可以理解。 简而言之:我想使用 terraform 在现有的 cloudtrail 路径中添加 data events:S3

谢谢帮助, 丹尼尔

【问题讨论】:

    标签: amazon-web-services amazon-elastic-beanstalk terraform aws-code-deploy amazon-cloudtrail


    【解决方案1】:

    正如我所说,要获得 CloudWatch 事件触发器,您需要一个 Cloudtrail 跟踪,例如:

    您不需要多个 CloudTrail 来调用 CloudWatch 事件。您也可以创建特定于服务的规则。

    Create a CloudWatch Events rule for an Amazon S3 source (console)

    CloudWatch 事件规则调用CodePipeline 作为目标。假设您创建了这个事件规则

    {
  "source": [
    "aws.s3"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "s3.amazonaws.com"
    ],
    "eventName": [
      "PutObject"
    ]
  }
}

    您添加 CodePipeline 作为此规则的目标,最终,Codepipeline 部署到 ElasticBeanstalk 环境。

    【讨论】:

    • 感谢您的快速响应,这正是我面临的问题:) 如果没有 cloudtrail 部分,事件将不会被触发,因为它依赖于 S3 的日志记录。所以你需要两者都有最终的触发器工作!
    • 也许一种解决方法是在整个 S3 Bucekt 上只有一个 cloudtrail 跟踪,在特定文件上使用 Cloudwatch 事件...
    • @can-I-do 您只需要启用一个 cloudtrail,而不是多个。一般来说,总是有一个 cloudtrail,然后使用它来通过 CloudWatch 捕获 API 调用。
    【解决方案2】:

    您是否尝试将多个 data_resources 添加到当前跟踪,而不是添加具有相同名称的新跟踪:

    resource "aws_cloudtrail" "example" {
  # ... other configuration ...
  name = "codepipeline-source-trail" #"codepipeline-${var.project_name}-trail"
  is_multi_region_trail = true
  s3_bucket_name = "codepipeline-cloudtrail-placeholder-bucket-eu-west-1"
  event_selector {
    read_write_type           = "WriteOnly"
    include_management_events = true

    data_resource {
      type = "AWS::S3::Object"

      values = ["${data.aws_s3_bucket.bamboo-deploy-bucket.arn}/${var.project_A}/file.zip"]
    }

    data_resource {
      type = "AWS::S3::Object"

      values = ["${data.aws_s3_bucket.bamboo-deploy-bucket.arn}/${var.project_B}/fileB.zip"]
    }
  }
}

    您应该能够添加多达 250 个数据资源(跨跟踪中的所有事件选择器),并且最多可以向当前跟踪添加 5 个事件选择器 (CloudTrail quota limits)

    【讨论】:

    • 感谢您的快速回答。是的,我想这是可能的。这里的问题是每次部署新堆栈时仍会创建新的 Trail。我可以修改 terraform 文件以添加多个 beanstalks 和 codepipelines,而不仅仅是每次都添加一个数据资源。但是,如果您一次为每个项目部署一个堆栈,则无法将另一个数据源添加到现有跟踪...
    • 正如我在另一条评论中所写,也许唯一的方法是为整个存储桶创建一个 cloudtrail 跟踪,而不是在每个文件的多个 cloudwatch 事件中更具体。
    • 是的,探索第二个选项,您可以为您的beantalks 设置专门的轨迹,然后使用事件规则中的过滤器。如果无法过滤您需要的数据(当您深入了解您上传的确切文件时),您可能需要查看您拥有的选项:Dedicated trail —> CW Event —> triggers一个带有一些逻辑来解析它是哪个文件的 Lambda —> Lambda 根据文件名键触发有问题的管道。
    • 嗯,它仍然感觉很不对劲:) 但我想我只是创建一个跟踪“记录所有 S3 存储桶和所有事件”,而不是创建在每个文件上指定的 Cloudwatch 事件,这将触发不同的代码管道。 .谢谢你的帮助!
    猜你喜欢
    • 2022-08-12
    • 1970-01-01
    • 1970-01-01
    • 2021-09-21
    • 2017-10-14
    • 2014-10-10
    • 1970-01-01
    • 2020-03-03
    • 2018-10-31
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode