如何设置警报以查看何时使用了 IAM 访问密钥?
上次更新时间:2020 年 6 月 18 日
如何设置通知以查看何时使用了特定 AWS Identity and Access Management (IAM) 凭证或访问密钥?
解决方法
没有预定义的规则来跟踪和发送有关使用 IAM 凭证的通知。但是,通过将 AWS CloudTrail 和 Amazon CloudWatch Events 与自定义规则结合使用,您可以向 Amazon Simple Notification Service (Amazon SNS) 主题或 Amazon Simple Queue Service (Amazon SQS) 队列发送通知。
CloudWatch Events 和规则表示为 JSON 对象。规则对事件应用了简单匹配或无匹配逻辑。根据事件的结构,您可以为要匹配的特定条件构建自定义模式。
以下示例规则跟踪单个访问密钥:
重要提示:
- 您必须启用跟踪才能发送事件,以便 CloudWatch 触发向 SNS 主题或 SQS 队列发送通知。
- 您跟踪的管理事件必须配置为只写或全部。配置为只读的跟踪管理事件不会触发 CloudWatch 事件规则。有关更多信息,请参见只读和只写事件以及 CloudTrail 支持的服务和集成。
1. 打开 CloudWatch 控制台,然后选择规则。
2. 选择创建规则。
3. 对于目标,选择添加目标,然后选择要响应事件的 AWS 服务,如 SNS 主题或 SQS 队列。
4. 对于事件源,选择事件模式。
5. 对于事件模式预览,选择编辑以编辑 JSON 版本。
6. 输入与以下类似的模板,然后选择保存。
注意:可以修改此模板以跟踪一系列条件的通知,如访问密钥、登录类型或特定身份。
{
"detail-type": [
"AWS API Call via CloudTrail"
],
"detail": {
"userIdentity": {
"accessKeyId": [
"AKIAIOSFODNN7EXAMPLE"
]
}
}
}
7. 选择 Configure details (配置详细信息)。
8. 对于名称,为规则输入名称,然后选择创建规则。