如何设置警报以查看何时使用了 IAM 访问密钥？

没有预定义的规则来跟踪和发送有关使用 IAM 凭证的通知。但是，通过将 AWS CloudTrail 和 Amazon CloudWatch Events 与自定义规则结合使用，您可以向 Amazon Simple Notification Service (Amazon SNS) 主题或 Amazon Simple Queue Service (Amazon SQS) 队列发送通知。

CloudWatch Events 和规则表示为 JSON 对象。规则对事件应用了简单匹配或无匹配逻辑。根据事件的结构，您可以为要匹配的特定条件构建自定义模式。

以下示例规则跟踪单个访问密钥：

重要提示：

• 您必须启用跟踪才能发送事件，以便 CloudWatch 触发向 SNS 主题或 SQS 队列发送通知。
• 您跟踪的管理事件必须配置为只写或全部。配置为只读的跟踪管理事件不会触发 CloudWatch 事件规则。有关更多信息，请参见只读和只写事件以及 CloudTrail 支持的服务和集成。

1.    打开 CloudWatch 控制台，然后选择规则。

2.    选择创建规则。

3.    对于目标，选择添加目标，然后选择要响应事件的 AWS 服务，如 SNS 主题或 SQS 队列。

4.    对于事件源，选择事件模式。

5.    对于事件模式预览，选择编辑以编辑 JSON 版本。

6.    输入与以下类似的模板，然后选择保存。

注意：可以修改此模板以跟踪一系列条件的通知，如访问密钥、登录类型或特定身份。 

{
"detail-type": [
"AWS API Call via CloudTrail"
],
"detail": {
"userIdentity": {
"accessKeyId": [
"AKIAIOSFODNN7EXAMPLE"
        ]
      }
   }
}

7.    选择 Configure details (配置详细信息)。

8.    对于名称，为规则输入名称，然后选择创建规则。