Comment recevoir des notifications lorsque des modifications IAM sont apportées à mon compte AWS ?

Dernière mise à jour : 24/08/2022

J'ai créé une règle Amazon EventBridge pour m'avertir lorsque les identités AWS Identity and Access Management (IAM) ou les appels d'API sont modifiés. Toutefois, la règle d'événement ne s'exécute pas lorsque des modifications sont apportées à IAM.

Brève description

Créez une règle EventBridge avec un modèle d'événement correspondant à un appel d'API IAM spécifique ou à plusieurs appels d'API IAM. Associez ensuite la règle à une rubrique Amazon Simple Notification Service (Amazon SNS). Lorsque la règle est exécutée, une notification SNS est envoyée aux abonnements correspondants.

Résolution

Si vous n'avez pas déjà créé de rubrique Amazon SNS, suivez les instructions de mise en route avec Amazon SNS.

Important :

  • Le service IAM et les appels d'API AWS associés ne sont disponibles que dans la région USA Est (Virginie du Nord). La règle EventBridge doit donc se situer dans la région USA Est (Virginie du Nord).
  • Cette solution utilise AWS CloudTrail. Pour que CloudTrail envoie des appels d'API à EventBridge, un journal d'activité doit exister dans la même région que la règle EventBridge. Assurez-vous que vous avez configuré les événements de gestion du journal d'activité en tant queWrite-only (Écriture seule) ou All (Tous). Pour en savoir plus, consultez Événements en lecture seule et en écriture seule.

L'exemple de modèle d'événement personnalisé ci-dessous déclenche une notification lorsque des appels d'API CreateUser et DeleteUser sont effectués dans votre compte.

1.    Ouvrez la console EventBridge dans la région USA Est (Virginie du Nord).

2.    Dans le volet de navigation, sélectionnez Rules (Règles), puis Create rule (Créer une règle).

3.    Saisissez un nom ainsi qu'une description pour la règle.

4.    Pour Event bus (Bus d'événements), sélectionnez le bus d'événements AWS par défaut. Lorsque IAM émet un événement, celui-ci est toujours transmis au bus d'événements par défaut de votre compte.

5.    Pour Rule type (Type de règle), sélectionnez Rule with an event pattern (Règle avec un modèle d'événement), puis Next (Suivant).

6.    Pour Event source (Source d'événement), sélectionnez AWS events or EventBridge partner events (Événements AWS ou événements partenaires EventBridge).

7.    Sous Event pattern (Modèle d'événement), procédez comme suit :

        Dans la liste déroulante Event source (Source d'événement), sélectionnez AWS services (Services AWS).

        Dans la liste déroulante AWS service (Service AWS), sélectionnez IAM.

        Dans la liste déroulante Event Type (Type d'événement), sélectionnez AWS API Call via CloudTrail (Appel d'API AWS via CloudTrail).

        Afin de déclencher la règle pour des appels d'API spécifiques, sélectionnez Specific operation(s) (Opérations spécifiques).

        Dans la zone de texte, saisissez le nom d'un appel d'API pour lequel vous voulez recevoir une notification. Par exemple, CreateUser.

        Afin d'ajouter des appels d'API supplémentaires, sélectionnez Add (Ajouter).

8.    Sélectionnez Edit pattern (Modifier le modèle) sous la zone d'aperçu Event pattern (Modèle d'événement).

9.    Copiez et collez l'exemple de modèle suivant dans le volet d'aperçu du modèle d'événement, puis sélectionnez Save (Enregistrer).

{
  "source": [
    "aws.iam"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "iam.amazonaws.com"
    ],
    "eventName": [
      "CreateUser",
      "DeleteUser"
    ]
  }
}

10.    Sélectionnez Next (Suivant).

11.    Pour Target types (Types de cible), sélectionnez AWS service (Service AWS).

13.    Pour Select a target (Sélectionner une cible), sélectionnez SNS topic (Rubrique SNS).

14.    Dans la liste déroulante Topic (Rubrique), sélectionnez votre rubrique SNS.

        (Facultatif) Sélectionnez Add another target (Ajouter une autre cible) afin d'ajouter une cible supplémentaire pour cette règle.

15.    Sélectionnez Next (Suivant).

         (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, veuillez consulter la section Balises Amazon EventBridge.

16.    Sélectionnez Next (Suivant).

17.    Vérifiez les paramètres de la règle, puis sélectionnez Create rule (Créer une règle).