Comment configurer des alertes afin de savoir quand une clé d'accès est utilisée ?

Problème

Comment configurer les notifications pour savoir quand des informations d'identification ou une clé d'accès spécifiques sont utilisées ?

Résolution

Il n'existe aucune règle prédéfinie pour le suivi et l'envoi de notifications lors de l'utilisation des informations d'identification IAM. Toutefois, en associant AWS CloudTrail et Amazon CloudWatch Events à une règle personnalisée, il est possible d'envoyer une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) ou à une file d'attente Amazon Simple Queue Service (Amazon SQS).

Commencez par vérifier que les prérequis exigés pour CloudWatch Events sont installés et que CloudTrail est activé avant de créer une règle CloudWatch Events personnalisée.

  1. Ouvrez la console AWS CloudWatch, puis choisissez Règles dans le volet de navigation de gauche.
  2. Choisissez Create rule.
  3. Sous Event selector (Sélecteur d'événements), sélectionnez les Event Source options (Options de source d'événement), puis choisissez Edit (Modifier) pour modifier la version JSON.
  4. Pour Targets (Cibles), choisissez Add Target (Ajouter une cible), puis choisissez le service AWS qui devra répondre à l'événement, par exemple une rubrique SNS ou une file d'attente SQS.

Remarque : La configuration de CloudWatch Logs est facultative.

Les événements et les règles CloudWatch sont représentés comme des objets JSON. Une règle est une simple logique de correspondance ou non correspondance appliquée aux événements. En nous basant sur la structure des événements, il est possible de créer des modèles personnalisés pour des critères spécifiques pour lesquels établir des correspondances. Par exemple pour suivre une clé d'accès unique, vous pouvez utilisez le modèle suivant :

{
    "detail": {
        "userIdentity": {
            "accessKeyId": [
                "AKIAIOSFODNN7EXAMPLE"
            ]
        }
    }
}

Ce modèle peut être adapté pour correspondre à n'importe quel champ ou combinaison de champs, et il peut suivre les notifications liées à différents critères tels que des clés d'accès, des types de connexion ou des identités utilisateur spécifiques. Afin de garantir la sécurité, il est également recommandé de supprimer de votre compte les informations d'identification IAM inutilisées. Consultez Recherche d'informations d'identification inutilisées pour plus d'informations.

Exemples d'événements CloudWatch de chaque service pris en charge

Modèles d'événement dans CloudWatch Events

Obtention des rapports d'informations d'identification de votre compte AWS

Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 09/02/2016

Date de mise à jour : 09/10/2018