Comment puis-je configurer des alertes pour voir quand une clé d'accès IAM est utilisée ?

Dernière mise à jour : 13/01/2022

Comment configurer des notifications pour voir quand des informations d'identification ou une clé d'accès AWS Identity and Access Management (IAM) spécifiques sont utilisées ?

Solution

Il n'existe aucune règle prédéfinie pour suivre et envoyer des notifications concernant l'utilisation des informations d'identification IAM. Toutefois, en combinant AWS CloudTrail et Amazon EventBridge avec une règle personnalisée, vous pouvez envoyer une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) ou à une file d'attente Amazon Simple Queue Service (Amazon SQS).

Les règles EventBridge sont représentées sous forme d'objets JSON. Une règle possède une logique de correspondance simple ou de non-correspondance appliquée aux événements. En fonction de la structure des événements, vous pouvez créer des modèles personnalisés pour les critères spécifiques que vous souhaitez faire correspondre.

L'exemple de règle suivant suit une clé d'accès unique dans la même région où la règle est configurée.

Important :

1.    Ouvrez la console EventBridge, puis choisissez Rules (Règles ).

2.    Sélectionnez Créer une règle.

3.    Saisissez un Nom pour la règle. Vous pouvez éventuellement saisir une description.

4.    Pour Define Pattern (Définir le modèle), choisissez Event Pattern (Modèle d'événement).

5.    Pour Event matching pattern (Modèle de correspondance d'événement), choisissez Custom pattern (Modèle personnalisé).

6.    Pour Event pattern (Modèle d'événement), sélectionnez Edit (Modifier), saisissez un modèle JSON similaire au suivant, puis sélectionnez Save (Enregistrer).

Remarque : ce modèle peut être modifié pour suivre les notifications pour un ensemble de critères, tels que les clés d'accès, les types de connexion ou des identités spécifiques.

{
    "detail-type": [
        "AWS API Call via CloudTrail"
    ],
    "detail": {
        "userIdentity": {
            "accessKeyId": [
                "AKIAIOSFODNN7EXAMPLE"
            ]
        }
    }
}

7.    Pour Select targets (Sélectionner des cibles), choisissez le service AWS qui doit répondre à l'événement, par exemple une rubrique SNS ou une file d'attente SQS.

8.    Sélectionnez Create (Créer).


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?