AWS アカウントに IAM の変更が加えられたときに通知を受け取るにはどうすればよいですか?

最終更新日: 2020 年 4 月 27 日

AWS Identity and Access Management (IAM) ID または API 呼び出しが変更されたときに通知する Amazon CloudWatch Events ルールを作成しました。しかし、IAM に変更が加えられても、イベントルールがトリガーされません。

簡単な説明

特定の IAM API 呼び出しが変更されたときに通知をトリガーする CloudWatch Events ルールでカスタムイベントパターンを作成します。次に、通知を受け取るために、レスポンスを Amazon Simple Notification Service (Amazon SNS) トピックにルーティングします。

解決方法

Amazon SNS トピックをまだ作成していない場合は、Amazon SNS の開始方法をご参照ください。

重要:

  • CloudWatch Events ルールは 米国東部 (バージニア北部) リージョンにある必要があります。
  • SNS トピックまたは Amazon Simple Queue Service (Amazon SQS) キューに通知を送信するには、CloudWatch Events ルールと同じリージョンで AWS CloudTrail 証跡が有効になっている必要があります。証跡の管理イベントが [書き込み専用] または [すべて] に設定されていることを確認します。詳細については、読み取り専用/書き込み専用イベントを参照してください。

次のカスタムイベントパターンの例では、アカウントで CreateUser および DeleteUser API 呼び出しが行われたときに通知がトリガーされます。

1.    米国東部 (バージニア北部) リージョンで CloudWatch コンソールを開きます。

2.    ナビゲーションペインで [Rules] を選択し、続いて [Create rule] を選択します。

3.    [サービス名] ドロップダウンメニューで [IAM] を選択します。

4.    [Event Type] ドロップダウンメニューで [AWS API Call via CloudTrail] を選択します。

5.    特定の API 呼び出しのルールをトリガーするには、[特定の操作] をクリックします。

6.    テキストボックスに、IAM オペレーションの名前を入力します。たとえば、CreateUser です。

7.    オペレーションを追加するには、+ のアイコンを選択します。

8.    [イベントパターンのプレビュー] で、[編集] を選択します。

9.    次のサンプルテンプレートをコピーして、イベントパターンのプレビューペインに貼り付け、[保存] を選択します。

{
    "source": [
        "aws.iam"
    ],
    "detail-type": [
        "AWS API Call via CloudTrail"
    ],
    "detail": {
        "eventSource": [
            "iam.amazonaws.com"
        ],
        "eventName": [
            "CreateUser",
            "DeleteUser"
        ]
    }
}
10 .    [ ターゲット] 、[ ターゲットの追加] を選択します
11.    [ ターゲットの選択] [ SNS トピック] を選択します
12.    [トピック] ドロップダウンメニューで [SNS トピック] を選択します。
13.    [ 設定の詳細] を選択します。

14.    [ルールの詳細の設定] でルールの名前と説明を入力し、[ルールの作成] をクリックします。