Comment recevoir des notifications lorsque des modifications IAM sont apportées à mon compte AWS ?

Date de la dernière mise à jour : 11/01/2022

J'ai créé une règle Amazon EventBridge afin d'être averti lorsque les identités AWS Identity and Access Management (IAM) ou les appels d'API sont modifiés. Toutefois, la règle d'événement ne s'exécute pas lorsque des modifications sont apportées à IAM.

Brève description

Créez une règle EventBridge avec un modèle d'événement correspondant à un appel d'API IAM spécifique ou à plusieurs appels d'API IAM. Associez ensuite la règle à une rubrique Amazon Simple Notification Service (Amazon SNS). Lorsque la règle est exécutée, une notification SNS est envoyée aux abonnements correspondants.

Résolution

Si vous n'avez pas déjà créé de rubrique Amazon SNS, suivez les instructions de mise en route avec Amazon SNS.

Important :

  • Le service IAM et les appels d'API AWS associés ne sont disponibles que dans la région USA Est (Virginie du Nord). Cela signifie que la règle EventBridge doit se situer dans la région USA Est (Virginie du Nord).
  • Cette résolution utilise CloudTrail. Pour que CloudTrail envoie des appels d'API à EventBridge, un journal d'activité doit exister dans la même région que la règle EventBridge. Assurez-vous que vous avez configuré les événements de gestion du journal d'activité en tant queWrite-only (Écriture seule) ou All (Tous). Pour en savoir plus, consultez Événements en lecture seule et en écriture seule.

L'exemple de modèle d'événement personnalisé ci-dessous déclenche une notification lorsque des appels d'API CreateUser et DeleteUser sont effectués dans votre compte.

1.    Ouvrez la console EventBridge dans la région USA Est (Virginie du Nord).

2.    Dans le volet de navigation, sélectionnez Règles, puis Créer une règle.

3.    Dans Define Pattern (Définir le modèle), choisissez Event pattern (Modèle d'événement).

4.    Dans Event pattern matching (Correspondance de modèle d'événement), choisissez Pre-defined pattern by service (Modèle prédéfini par service).

5.    Dans la liste déroulante Service Name (Nom du service), sélectionnez IAM.

6.    Dans la liste déroulante Event Type (Type d'événement), choisissez AWS API Call via CloudTrail (Appel d'API AWS via CloudTrail).

7.    Pour démarrer la règle pour des appels d'API spécifiques, choisissez Specific operation(s) (Opérations spécifiques).

8.    Dans la zone de texte, saisissez le nom pour une opération IAM. Par exemple, CreateUser.

9.    Pour ajouter d'autres opérations, choisissez l'icône +.

10.    Dans l'aperçu Event Pattern (Modèle d'événement), choisissez Edit (Modifier).

11.    Copiez et collez l'exemple de modèle suivant dans le volet d'aperçu du modèle d'événement, puis choisissez Edit (Enregistrer).

{
    "source": [
        "aws.iam"
    ],
    "detail-type": [
        "AWS API Call via CloudTrail"
    ],
    "detail": {
        "eventSource": [
            "iam.amazonaws.com"
        ],
        "eventName": [
            "CreateUser",
            "DeleteUser"
        ]
    }
}

12.    Dans Targets (Cibles), choisissez Add target (Ajouter une cible).

13.    Dans Select Target (Sélectionner la cible), choisissez SNS topic (Rubrique SNS).

14.    Dans la liste déroulante Topic (Rubrique), choisissez votre rubrique SNS.

15.    Choisissez Configure details (Configurer les détails).

16.    Dans Configure rule details (Configurer les détails de la règle), saisissez le nom et la description de la règle, puis choisissez Create rule (Créer une règle).