如何在我的 AWS 账户发生 IAM 角色更改时收到通知?

上次更新时间:2020 年 4 月 27 日

我创建了一条 Amazon CloudWatch Events 规则,以在 AWS Identity and Access Management (IAM) 身份或 API 调用发生更改时通知我。但是 IAM 发生更改时并未触发事件规则。

简短描述

使用 CloudWatch Events 规则创建将在特定的 IAM API 调用发生更改时触发通知的自定义事件模式。然后将响应路由到某个 Amazon Simple Notification Service (Amazon SNS) 主题以接收通知。

解决方法

如果您尚未创建 Amazon SNS 主题,请按照 Amazon SNS 入门中的说明创建一个。

重要提示:

  • 此 CloudWatch Events 规则必须位于美国东部(弗吉尼亚北部)区域。
  • 您必须在 CloudWatch Events 规则所在区域启用 AWS CloudTrail 跟踪,以将通知发送到的 SNS 主题或 Amazon Simple Queue Service (Amazon SQS) 队列。请确保您已将跟踪的管理事件配置为“只写”或“全部”。有关详细信息,请参阅只读和只写事件

以下示例自定义事件模式将在您的账户中执行 CreateUserDeleteUser API 调用时触发通知。

1.    打开 CloudWatch 控制台

2.    在导航窗格中,选择规则,然后选择创建规则

3.    在服务名称下拉菜单中,选择 IAM

4.    在事件类型下拉菜单中,选择通过 CloudTrail 进行 AWS API 调用

5.    要为特定 API 调用触发规则,请选择特定操作

6.    在文本框中,输入 IAM 操作的名称。例如,CreateUser

7.    要添加其他操作,选择 + 图标。

8.    在事件模式预览中,选择编辑

9.    将以下示例模板复制并粘贴到事件模式预览窗格,然后选择保存

{
    "source": [
        "aws.iam"
    ],
    "detail-type": [
        "AWS API Call via CloudTrail"
    ],
    "detail": {
        "eventSource": [
            "iam.amazonaws.com"
        ],
        "eventName": [
            "CreateUser",
            "DeleteUser"
        ]
    }
}
10 .     目标 中,选择 添加目标
11.     选择目标 中,选择 SNS 主题
12.    主题下拉菜单中, 选择您的 SNS 主题。
13.    选择 配置详细信息

14.    在配置规则详细信息中,输入规则的名称和描述,然后选择创建规则