如何设置提示以查看何时使用了 IAM 访问密钥?
上次更新日期:2022 年 1 月 13 日
如何设置通知以查看何时使用了特定 AWS Identity and Access Management (IAM) 凭证或访问密钥?
解决方法
没有预定义的规则可用于跟踪 IAM 凭证的使用情况并发送通知。不过,通过将 AWS CloudTrail 和 Amazon EventBridge 与自定义规则结合使用,您可以向 Amazon Simple Notification Service (Amazon SNS) 主题或 Amazon Simple Queue Service (Amazon SQS) 队列发送通知。
EventBridge 规则表示为 JSON 对象。规则对事件应用了简单匹配或无匹配逻辑。根据事件的结构,您可以为要匹配的特定条件构建自定义模式。
以下示例规则在配置规则的同一区域中跟踪单个访问密钥。
重要提示:
- 您必须启用跟踪记录才能发送事件,以便 EventBridge 触发向 SNS 主题或 SQS 队列发送通知。
- 您跟踪记录的管理事件必须配置为只写或全部。配置为只读的跟踪记录管理事件不会触发 EventBridge 事件规则。有关更多信息,请参阅读取和写入事件、来自 AWS 服务的事件以及 CloudTrail 支持的服务和集成。
1. 打开 Evenbridge 控制台,然后选择 Rules(规则)。
2. 选择创建规则。
3. 输入规则的 Name(名称)。可选择输入 Description(描述)。
4. 对于 Define pattern(定义模式),选择 Event Pattern(事件模式)。
5. 对于 Event matching pattern(事件匹配模式),选择 Custom pattern(自定义模式)。
6. 对于事件模式,选择编辑,输入类似于以下内容的 JSON 模板,然后选择保存。
注意:可以修改此模板以跟踪一系列条件的通知,如访问密钥、登录类型或特定身份。
{
"detail-type": [
"AWS API Call via CloudTrail"
],
"detail": {
"userIdentity": {
"accessKeyId": [
"AKIAIOSFODNN7EXAMPLE"
]
}
}
}
7. 对于选择目标,选择您想要响应事件的 AWS 服务,例如 SNS 主题名称或 SQS 队列名称。
8. 选择 Create(创建)。