如何设置警报以查看何时使用了 IAM 访问密钥?

上次更新时间:2020 年 6 月 18 日

如何设置通知以查看何时使用了特定 AWS Identity and Access Management (IAM) 凭证或访问密钥?

解决方法

没有预定义的规则来跟踪和发送有关使用 IAM 凭证的通知。但是,通过将 AWS CloudTrail 和 Amazon CloudWatch Events 与自定义规则结合使用,您可以向 Amazon Simple Notification Service (Amazon SNS) 主题或 Amazon Simple Queue Service (Amazon SQS) 队列发送通知。

CloudWatch Events 和规则表示为 JSON 对象。规则对事件应用了简单匹配或无匹配逻辑。根据事件的结构,您可以为要匹配的特定条件构建自定义模式。

以下示例规则跟踪单个访问密钥:

重要提示:

  • 您必须启用跟踪才能发送事件,以便 CloudWatch 触发向 SNS 主题或 SQS 队列发送通知。
  • 您跟踪的管理事件必须配置为只写全部。配置为只读的跟踪管理事件不会触发 CloudWatch 事件规则。有关更多信息,请参见只读和只写事件以及 CloudTrail 支持的服务和集成

1.    打开 CloudWatch 控制台,然后选择规则

2.    选择创建规则

3.    对于目标,选择添加目标,然后选择要响应事件的 AWS 服务,如 SNS 主题或 SQS 队列。

4.    对于事件源,选择事件模式

5.    对于事件模式预览,选择编辑以编辑 JSON 版本。

6.    输入与以下类似的模板,然后选择保存

注意:可以修改此模板以跟踪一系列条件的通知,如访问密钥、登录类型或特定身份。 

{
"detail-type": [
"AWS API Call via CloudTrail"
],
"detail": {
"userIdentity": {
"accessKeyId": [
"AKIAIOSFODNN7EXAMPLE"
        ]
      }
   }
}

7.    选择 Configure details (配置详细信息)

8.    对于名称,为规则输入名称,然后选择创建规则。