Wie kann ich eine EventBridge-Ereignisregel erstellen, um mich darüber zu informieren, dass mein AWS-Root-Benutzerkonto verwendet wurde?
Letzte Aktualisierung: 12.08.2021
Wie kann ich Benachrichtigungen erhalten, wenn mein AWS-Root-Benutzerkonto verwendet wird?
Auflösung
Starten Sie einen AWS-CloudFormation-Stack, um ein Amazon Simple Notification Service (Amazon SNS)-Thema zu erstellen. Erstellen Sie anschließend eine Amazon-EventBridge-Ereignisregel, um userIdentity-Root-Anmeldungen von der AWS-Managementkonsole aus zu überwachen.
Wichtig: Bevor Sie beginnen, stellen Sie sicher, dass Ihre Lese-/Schreibereignisse von AWS CloudTrail Management auf Alle oder Schreibgeschützt eingestellt sind, damit EventBridge-Ereignisse die Anmelde-Ereignis-Benachrichtigung auslöst. Weitere Informationen finden Sie unter Lese- und Schreib-Ereignisse.
1. Kopieren und fügen Sie diese YAML-Vorlage in Ihr bevorzugtes Editor-Tool ein und speichern Sie sie anschließend.
# Copyright 2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.
# Permission is hereby granted, free of charge, to any person obtaining a copy of this
# software and associated documentation files (the "Software"), to deal in the Software
# without restriction, including without limitation the rights to use, copy, modify,
# merge, publish, distribute, sublicense, and/or sell copies of the Software, and to
# permit persons to whom the Software is furnished to do so.
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,
# INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A
# PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
# HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
# OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
# SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
AWSTemplateFormatVersion: '2010-09-09'
Description: ROOT-AWS-Console-Sign-In-via-CloudTrail
Metadata:
AWS::CloudFormation::Interface:
ParameterGroups:
- Label:
default: Amazon SNS parameters
Parameters:
- Email Address
Parameters:
EmailAddress:
Type: String
AllowedPattern: "^[\\x20-\\x45]?[\\w-\\+]+(\\.[\\w]+)*@[\\w-]+(\\.[\\w]+)*(\\.[a-z]{2,})$"
ConstraintDescription: Email address required.
Description: Enter an email address you want to subscribe to the Amazon SNS topic
that will send notifications if your account's AWS root user logs in.
Resources:
RootActivitySNSTopic:
Type: AWS::SNS::Topic
Properties:
DisplayName: ROOT-AWS-Console-Sign-In-via-CloudTrail
Subscription:
- Endpoint:
Ref: EmailAddress
Protocol: email
TopicName: ROOT-AWS-Console-Sign-In-via-CloudTrail
EventsRule:
Type: AWS::Events::Rule
Properties:
Description: Events rule for monitoring root AWS Console Sign In activity
EventPattern:
detail-type:
- AWS Console Sign In via CloudTrail
detail:
userIdentity:
type:
- Root
Name:
Fn::Sub: "${AWS::StackName}-RootActivityRule"
State: ENABLED
Targets:
- Arn:
Ref: RootActivitySNSTopic
Id: RootActivitySNSTopic
DependsOn:
- RootActivitySNSTopic
RootPolicyDocument:
Type: AWS::SNS::TopicPolicy
Properties:
PolicyDocument:
Id: RootPolicyDocument
Version: '2012-10-17'
Statement:
- Sid: RootPolicyDocument
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: sns:Publish
Resource:
- Ref: RootActivitySNSTopic
Topics:
- Ref: RootActivitySNSTopic
Outputs:
EventsRule:
Value:
Ref: EventsRule
Export:
Name:
Fn::Sub: "${AWS::StackName}-RootAPIMonitorEventsRule"
Description: Event Rule ID.2. Öffnen Sie die CloudFormation-Konsole in der Region USA Ost (Nord-Virginia) und wählen Sie dann Create stack (Stack erstellen).
Hinweis: Der CloudFormation-Stack muss in der Region USA Ost (Nord-Virginia) erstellt werden.
3. Wählen Sie Create stack (Stack erstellen) und dann With new resources (Standard) (Mit neuen Ressourcen (Standard)).
4. Wählen Sie Upload a template file (Vorlagendatei hochladen), Next (Weiter) und dann Choose file (Datei auswählen).
5. Wählen Sie die Vorlage aus, die Sie in Schritt 1 gespeichert haben, und wählen Sie dann Next (Weiter).
6. Geben Sie im Feld Stack name (Stack-Namen) einen Namen ein, der für Sie von Bedeutung ist, z. B. Root-AWS-Console-Sign-in-CloudTrail.
7. Geben Sie im Feld EmailAddress Ihre E-Mail-Adresse ein und wählen Sie dann Next (Weiter).
Hinweis: AWS sendet die Bestätigungs-E-Mail an diese E-Mail-Adresse.
8. Wählen Sie unter Options (Optionen) die Option Next (Weiter) aus, und wählen Sie dann Create (Erstellen) aus.
9. Suchen Sie in Ihrem E-Mail-Posteingang nach der AWS-Bestätigungs-E-Mail und wählen Sie dann Confirm subscription (Abonnement bestätigen), um die SNS-Abonnementanfrage zu bestätigen. Sie erhalten eine Nachricht mit Abonnement bestätigt!.
10. Um Benachrichtigungen zu testen, melden Sie sich von der AWS-Managementkonsole ab. Melden Sie sich anschließend mit Ihrem AWS-Root-Benutzerkonto bei der AWS-Managementkonsole an.
11. Suchen Sie in Ihrem E-Mail-Posteingang nach einer AWS-Benachrichtigung. Beachten Sie, dass CloudTrail userIdentity, sourceIPAddress und MFAUsed mit Details für das Anmeldungs-Ereignis aufzeichnet.
Um keine Benachrichtigungen mehr zu erhalten, löschen Sie den CloudFormation-Stack, den Sie in Schritt 2 erstellt haben.
Relevante Informationen
Erstellen eines Stacks auf der CloudFormation-Konsole
Empfang von Benachrichtigungen, wenn die Root-Zugriffschlüssel Ihres AWS-Kontos verwendet werden
Überwachung und Benachrichtigung für AWS-Konto-Root-Benutzer-Aktivität
Erstellen von CloudWatch-Alarmen mit einer CloudFormation-Vorlage
War dieser Artikel hilfreich?
Benötigen Sie Hilfe zur Fakturierung oder technischen Support?