Comment puis-je configurer des alertes pour voir quand une clé d'accès IAM est utilisée ?
Dernière mise à jour : 13/01/2022
Solution
Il n'existe aucune règle prédéfinie pour suivre et envoyer des notifications concernant l'utilisation des informations d'identification IAM. Toutefois, en combinant AWS CloudTrail et Amazon EventBridge avec une règle personnalisée, vous pouvez envoyer une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) ou à une file d'attente Amazon Simple Queue Service (Amazon SQS).
Les règles EventBridge sont représentées sous forme d'objets JSON. Une règle possède une logique de correspondance simple ou de non-correspondance appliquée aux événements. En fonction de la structure des événements, vous pouvez créer des modèles personnalisés pour les critères spécifiques que vous souhaitez faire correspondre.
L'exemple de règle suivant suit une clé d'accès unique dans la même région où la règle est configurée.
Important :
- Vous devez disposer d'un journal d'activité activé pour envoyer des événements pour qu'EventBridge déclenche une notification vers une rubrique SNS ou une file d'attente SQS.
- Les événements de gestion de votre journal d'activité doivent être configurés en Écriture seule ou sur l'option Tous. Les événements de gestion du journal d'activité configurés en Lecture seule ne déclencheront pas la règle d'EventBridge. Pour plus d'informations, consultez les sections Événements en lecture et écriture, Événements provenant de services AWS et Services et intégrations supportés par CloudTrail.
1. Ouvrez la console EventBridge, puis choisissez Rules (Règles ).
2. Sélectionnez Créer une règle.
3. Saisissez un Nom pour la règle. Vous pouvez éventuellement saisir une description.
4. Pour Define Pattern (Définir le modèle), choisissez Event Pattern (Modèle d'événement).
5. Pour Event matching pattern (Modèle de correspondance d'événement), choisissez Custom pattern (Modèle personnalisé).
6. Pour Event pattern (Modèle d'événement), sélectionnez Edit (Modifier), saisissez un modèle JSON similaire au suivant, puis sélectionnez Save (Enregistrer).
Remarque : ce modèle peut être modifié pour suivre les notifications pour un ensemble de critères, tels que les clés d'accès, les types de connexion ou des identités spécifiques.
{
"detail-type": [
"AWS API Call via CloudTrail"
],
"detail": {
"userIdentity": {
"accessKeyId": [
"AKIAIOSFODNN7EXAMPLE"
]
}
}
}7. Pour Select targets (Sélectionner des cibles), choisissez le service AWS qui doit répondre à l'événement, par exemple une rubrique SNS ou une file d'attente SQS.
8. Sélectionnez Create (Créer).
Informations connexes
Cet article vous a-t-il été utile ?
Besoin d'aide pour une question technique ou de facturation ?