Wie erfahre ich, wenn IAM-Änderungen an meinem AWS-Konto vorgenommen werden?

Letzte Aktualisierung: 24.08.2022

Ich habe eine Amazon-EventBridge-Regel erstellt, um benachrichtigt zu werden, wenn Änderungen an IAM-Identitäten (AWS Identity and Access Management) oder API-Aufrufen vorgenommen werden. Die Ereignisregel wird jedoch nicht initiiert, wenn Änderungen an IAM vorgenommen werden.

Kurzbeschreibung

Erstellen Sie eine EventBridge-Regel mit einem Ereignismuster, das einem bestimmten IAM-API-Aufruf oder mehreren IAM-API-Aufrufen entspricht. Ordnen Sie die Regel anschließend einem Amazon Simple Notification Service (Amazon SNS)-Thema zu. Wenn die Regel ausgeführt wird, wird eine SNS-Benachrichtigung an die entsprechenden Abonnements gesendet.

Auflösung

Wenn Sie noch kein Amazon-SNS-Thema erstellt haben, befolgen Sie die Anweisungen für Erste Schritte mit Amazon SNS.

Wichtig:

  • Der IAM-Service und die zugehörigen AWS-API-Aufrufe sind nur in der Region USA Ost (Nord-Virginia) verfügbar. Das bedeutet, dass die EventBridge-Regel in der Region USA Ost (Nord-Virginia) liegen muss.
  • Für diese Auflösung wird AWS CloudTrail verwendet. Damit CloudTrail API-Aufrufe an EventBridge sendet, muss ein Trail in derselben Region wie die EventBridge-Regel vorhanden sein. Stellen Sie sicher, dass Sie die Verwaltungsereignisse des Trails als Schreibzugriff oder Alle konfiguriert haben. Weitere Informationen finden Sie unter Ereignisse mit Lesezugriff und Schreibzugriff.

Das folgende Beispiel für ein benutzerdefiniertes Ereignismuster startet eine Benachrichtigung, wenn CreateUser- und DeleteUser-API-Aufrufe in Ihrem Konto getätigt werden.

1.    Öffnen Sie die EventBridge-Konsole in der Region USA Ost (Nord-Virginia).

2.    Wählen Sie im Navigationsbereich Rollen und dann Rolle erstellen aus.

3.    Geben Sie einen Namen und eine Beschreibung für die Regel ein.

4.    Wählen Sie für den Ereignisbus den Standard-AWS-Ereignisbus aus. Wenn IAM ein Ereignis aussendet, wird es immer zum Standard-Ereignisbus Ihres Kontos geleitet.

5.    Wählen Sie für Regeltyp die Option Regel mit Ereignismuster aus, und wählen Sie dann Weiter.

6.    Wählen Sie als Ereignisquelle AWS-Ereignisse oder EventBridge-Partnerereignisse aus.

7.    Führen Sie unter Ereignismuster die folgenden Schritte aus:

        Wählen Sie in der Dropdownliste Ereignisquelle die Option AWS-Services aus.

        Wählen Sie in der Dropdown-Liste AWS-Service die Option IAM aus.

        Wählen Sie in der Dropdown-Liste Ereignistyp die Option AWS API Call via CloudTrail aus.

        Um die Regel für bestimmte API-Aufrufe zu starten, wählen Sie Spezifische Operation(en) aus.

        Geben Sie in das Textfeld den Namen eines API-Aufrufs ein, für den Sie eine Benachrichtigung erhalten möchten. Zum Beispiel CreateUser.

        Um weitere API-Aufrufe hinzuzufügen, wählen Sie Hinzufügen aus.

8.    Wählen Sie unter dem Vorschaufeld für Ereignismuster die Option Muster bearbeiten.

9.    Kopieren Sie die folgende Beispielvorlage, fügen Sie sie in den Vorschaubereich des Ereignismusters ein, und wählen Sie dann Speichern aus.

{
  "source": [
    "aws.iam"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "iam.amazonaws.com"
    ],
    "eventName": [
      "CreateUser",
      "DeleteUser"
    ]
  }
}

10.    Klicken Sie auf Weiter.

11.    Wählen Sie für Zieltypen die Option AWS-Service.

13.    Wählen Sie unter Ziel auswählen die Option SNS-Thema aus.

14.    Wählen Sie in der Dropdown-Liste Thema Ihr SNS-Thema aus.

        (Optional) Wählen Sie Weiteres Ziel hinzufügen, um ein weiteres Ziel für diese Regel hinzuzufügen.

15.    Klicken Sie auf Weiter.

         (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter Amazon-EventBridge-Tags.

16.    Klicken Sie auf Weiter.

17.    Überprüfen Sie die Details der Regel und wählen Sie Regel erstellen aus.