¿Cómo puedo recibir una notificación cuando se realizan cambios IAM en mi cuenta de AWS?

Última actualización: 11-01-2022

He creado una regla de Amazon EventBridge para notificarme cuando se realicen cambios en las identidades de AWS Identity and Access Management (IAM) o en las llamadas a la API. Sin embargo, la regla del evento no se inicia cuando se realizan cambios en IAM.

Descripción corta

Crea una regla de EventBridge con un patrón de eventos que coincida con una llamada a la API de IAM específica o varias llamadas a la API de IAM. A continuación, asocie la regla a un tema de Amazon Simple Notification Service (Amazon SNS). Cuando se ejecuta la regla, se envía una notificación de SNS a las suscripciones correspondientes.

Resolución

Si aún no ha creado un tema de Amazon SNS, siga las instrucciones de Introducción a Amazon SNS.

Importante:

  • El servicio de IAM y las llamadas a la API de AWS relacionadas solo están disponibles en la región Este de EE. UU. (Norte de Virginia). Esto significa que la regla de EventBridge debe estar en la región Este de EE. UU. (Norte de Virginia).
  • Esta resolución usa CloudTrail. Para que CloudTrail envíe llamadas a la API a EventBridge, debe existir una traza en la misma región que la regla de EventBridge. Asegúrese de haber configurado los eventos de administración de la traza como Write-only (Solo escritura) o All (Todo). Para obtener más información, consulte Eventos de solo lectura y solo escritura.

El siguiente ejemplo de patrón de eventos personalizados inicia una notificación cuando se realizan llamadas a la API CreateUser y DeleteUser en su cuenta.

1.    Abra la consola de EventBridge en la región Este de EE. UU. (Norte de Virginia).

2.    En el panel de navegación, elija Rules (Reglas) y luego Create rule (Crear regla).

3.    En Define pattern (Definir patrón), elija Event Pattern (Patrón de eventos).

4.    En Event pattern matching (Coincidencia de patrones de eventos), elija Pre-defined pattern by service (Patrón predefinido por servicio).

5.    En la lista desplegable Service Name (Nombre del servicio), elija IAM.

6.    En la lista desplegableEvent Type (Tipo de evento), elija AWS API Call via CloudTrail (Llamada a la API de AWS a través de CloudTrail).

7.    Para iniciar la regla para llamadas a la API específicas, elija Specific operation(s) (Operaciones específica(s)).

8.    En el cuadro de texto, ingrese el nombre de una operación de IAM. Por ejemplo, CreateUser.

9.    Para agregar más operaciones, elija el icono +.

10.    En la vista previa Event Pattern (Patrón de eventos), elija Edit (Editar).

11.    Copie y pegue la siguiente plantilla de ejemplo en el panel de vista previa del patrón de eventos y, a continuación, elija Save (Guardar).

{
    "source": [
        "aws.iam"
    ],
    "detail-type": [
        "AWS API Call via CloudTrail"
    ],
    "detail": {
        "eventSource": [
            "iam.amazonaws.com"
        ],
        "eventName": [
            "CreateUser",
            "DeleteUser"
        ]
    }
}

12.    En Targets (Destinos), elija Add target (Agregar destino).

13.    En Select Target (Seleccionar destino), elija SNS Topic (Tema de SNS).

14.    En la lista desplegable Topic (Tema), elija su tema de SNS.

15.    Seleccione Configure details (Configurar detalles).

16.    En Configure rule details (Configurar detalles de la regla), ingrese un nombre y una descripción para la regla y, a continuación, elija Create rule (Crear regla).