Comment puis-je configurer des alertes pour voir quand une clé d’accès IAM est utilisée ?

Dernière mise à jour : 18/06/2020

Comment configurer des notifications pour voir quand des informations d’identification ou une clé d’accès AWS Identity and Access Management (IAM) spécifiques sont utilisées ?

Résolution

Il n'existe aucune règle prédéfinie pour suivre et envoyer des notifications concernant l'utilisation des informations d'identification IAM. Toutefois, en combinant AWS CloudTrail et Amazon CloudWatch Events avec une règle personnalisée, vous pouvez envoyer une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) ou à une file d'attente Amazon Simple Queue Service (Amazon SQS).

Les événements CloudWatch Events et les règles sont représentés sous la forme d'objets JSON. Une règle possède une logique de correspondance simple ou de non-correspondance appliquée aux événements. En fonction de la structure des événements, vous pouvez créer des modèles personnalisés pour les critères spécifiques que vous souhaitez faire correspondre.

L'exemple de règle suivant suit une clé d'accès unique :

Important :

Vous devez disposer d'un journal de suivi activé pour envoyer des événements pour que CloudWatch déclenche une notification vers une rubrique SNS ou une file d'attente SQS.
Les événements de gestion de votre journal de suivi doivent être configurés en Écriture seule ou sur l'option Tous. Les événements de gestion de suivi configurés en Lecture seule ne déclenchent pas la règle d'événement CloudWatch. Pour plus d'informations, consultez les sections Événements en lecture seule et en écriture seule et Services et intégrations pris en charge par CloudTrail.

1. Ouvrez la console CloudWatch, puis choisissez Règles.

2. Sélectionnez Créer une règle.

3. Pour Cibles, choisissez Ajouter une cible, puis choisissez le service AWS qui doit répondre à l'événement, par exemple une rubrique SNS ou une file d'attente SQS.

4. Pour Source de l’événement, choisissez Modèle de l’événement.

5. Pour Aperçu du modèle de l'événement, choisissez Modifier pour modifier la version JSON.

6. Entrez un modèle similaire à ce qui suit, puis choisissez Enregistrer.

Remarque : ce modèle peut être modifié pour suivre les notifications pour un ensemble de critères, tels que les clés d'accès, les types de connexion ou des identités spécifiques.

{
"detail-type": [
"AWS API Call via CloudTrail"
],
"detail": {
"userIdentity": {
"accessKeyId": [
"AKIAIOSFODNN7EXAMPLE"
        ]
      }
   }
}

7. Sélectionnez Configurer les détails.

8. Dans Nom, saisissez un nom pour votre règle, puis choisissez Créer une règle.

Informations connexes

Exemples d'événements CloudWatch Events des services pris en charge

Modèles d'événements dans les événements CloudWatch Events

Obtention de rapports d'informations d'identification pour votre compte AWS

Cet article vous a-t-il été utile ?

Oui

Non

Cette page peut-elle être améliorée ?

N'hésitez pas à nous contacter.

Vous avez besoin d'aide ?

Contactez AWS Support.