本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 從 AWS 服務接收唯讀管理事件
<a name="eb-service-event-cloudtrail-management"></a>

您可以在預設或自訂事件匯流排上設定規則，以透過 CloudTrail 從 AWS 服務接收唯讀*管理事件*。管理事件可讓您查看在 AWS 帳戶中資源上執行的管理操作。這些也稱為控制平面操作。如需詳細資訊，請參閱《CloudTrail 使用者指南》**中的[記錄管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)。

針對有關預設或自訂事件匯流排的每個規則，您可以設定規則狀態來控制要接收的事件類型：
+ 停用規則，讓 EventBridge 不符合規則的事件。
+ 啟用規則，讓 EventBridge 符合規則的事件，但透過 傳遞的唯讀 AWS 管理事件除外 CloudTrail。
+ 啟用規則，讓 EventBridge 符合規則的所有事件，*包括*透過 傳遞的唯讀管理事件 CloudTrail。

合作夥伴事件匯流排不會接收 AWS 事件。

決定是否接收唯讀管理事件時需要考量的一些事項：
+ 某些唯讀管理事件，例如 AWS Key Management Service `GetKeyPolicy` 和 `DescribeKey`，或 IAM `GetPolicy`和 `GetRole`事件，其發生量遠高於一般變更事件。
+ 您可能已經收到唯讀管理事件`Get`，即使這些事件的開頭不是 `Describe`、 或 `List`。其中一個範例來自 `TestEventPattern` EventBridge。

  如需依 AWS 服務不符合 `Describe`、 `Get`或 `List` 命名慣例的唯讀管理事件清單，請參閱 [EventBridge 中 AWS 服務產生的管理事件](eb-service-management-event-list.md)。

**使用 CLI AWS 建立接收唯讀管理事件的規則**
+ 使用 `put-rule` 指令建立或更新規則，並使用參數執行下列作業：
  + 指定規則屬於預設事件匯流排或特定自訂事件匯流排
  + 將規則狀態設為 `ENABLED_WITH_ALL_CLOUDTRAIL_MANAGEMENT_EVENTS`

  `aws events put-rule --name "{{ruleForManagementEvents}}" --event-bus-name "default" --state "ENABLED_WITH_ALL_CLOUDTRAIL_MANAGEMENT_EVENTS"`

**注意**  
僅支援透過 CLI 和 CloudFormation 範本啟用 CloudWatch AWS 管理事件的規則。

**Example**  
下列範例說明如何與特定事件進行比對。最佳實務是為比對特定事件定義專用規則，以保持清晰和易於編輯。  
在此情況下，專用規則會比對來自 的`AssumeRole`管理事件 AWS Security Token Service。  

```
{
    "source" : [ "aws.sts" ],
    "detail-type": ["AWS API Call via CloudTrail"],
    "detail" : {
        "eventName" : ["AssumeRole"]
    }
}
```