AWS アカウントに IAM の変更が加えられたときに通知を受け取るにはどうすればよいですか?

最終更新日: 2022 年 8 月 24 日

AWS Identity and Access Management (IAM) ID または API コールが変更されたときに通知する Amazon EventBridge ルールを作成しました。しかし、IAM に変更が加えられても、イベントルールが開始されません。

簡単な説明

特定の IAM API コール、または複数の IAM API コールに一致するイベントパターンを持つ EventBridge ルールを作成します。次に、Amazon Simple Notification Service (Amazon SNS) トピックにルールを関連付けます。ルールが実行されると、SNS 通知が対応するサブスクリプションに送信されます。

解決方法

Amazon SNS トピックをまだ作成していない場合は、「Amazon SNS の開始方法」の手順に従ってください。

重要:

  • IAM サービスと関連する AWS API コールは、米国東部 (バージニア北部) リージョンでのみ使用できます。つまり、EventBridge ルールは米国東部 (バージニア北部) リージョンにある必要があります。
  • この解決方法では、AWS CloudTrail を使用します。CloudTrail が API コールを EventBridge に送信するには、EventBridge ルールと同じリージョンに追跡が存在する必要があります。追跡の管理イベントを [書き込み専用] または [すべて] に設定したことを確認します。詳細については、「読み取り専用/書き込み専用イベント」を参照してください。

次のカスタムイベントパターンの例では、アカウントで CreateUser および DeleteUser API コールが行われたときに通知がスタートします。

1.    米国東部 (バージニア北部) リージョンで EventBridge コンソールを開きます。

2.    ナビゲーションペインで [Rules] (ルール) を選択してから、[Create rule] (ルールを作成) を選択します。

3.    ルールの [Name] (名前) と [Description] (説明) を入力します。

4.    [Event bus] (イベントバス) で、デフォルトの AWS イベントバスを選択します。IAM がイベントを発行すると、そのイベントは常にアカウントのデフォルトのイベントバスに送られます。

5.    [Rule type] (ルールタイプ) で [Rule with an event pattern] (イベントパターンを持つルール) を選択して、[Next] (次へ) を選択します。

6.    [Event source] (イベントソース) で、[AWS events or EventBridge partner events] (AWS イベントまたは EventBridge パートナーイベント) を選択します。

7.    [Event pattern] (イベントパターン) で、次の操作を実行します。

        [Event source] (イベントソース) ドロップダウンリストで、[AWS services] (AWS のサービス) を選択します。

        [AWS service] (AWS のサービス) ドロップダウンリストで、[IAM] を選択します。

        [Event type] (イベントタイプ) ドロップダウンリストで、[AWS API Call via CloudTrail] (CloudTrail 経由での AWS API コール) を選択します。

        特定の API コールのルールを開始するには、[Specific operation(s)] (特定のオペレーション) を選択します。

        テキストボックスで、通知を受け取る API コールの名前を入力します。例えば、CreateUser です。

        API コールをさらに追加するには、[Add] (追加) を選択します。

8.    [Event pattern] (イベントパターン) プレビューボックスの下の [Edit pattern] (パターンを編集) を選択します。

9.    次のサンプルテンプレートをコピーして、イベントパターンのプレビューペインに貼り付け、[Save] (保存) を選択します。

{
  "source": [
    "aws.iam"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "iam.amazonaws.com"
    ],
    "eventName": [
      "CreateUser",
      "DeleteUser"
    ]
  }
}

10.    [Next] (次へ) を選択します。

11.    [Target types] (ターゲットタイプ) には、[AWS service] (AWS のサービス) を選択します。

13.    [Select a target] (ターゲットを選択) で、[SNS topic] (SNS トピック) を選択します。

14.    [Topic] (トピック) ドロップダウンリストで、SNS トピックを選択します。

        (オプション) このルールに別のターゲットを追加するには、 [Add another target] (別のターゲットを追加) を選択します。

15.    [Next] (次へ) を選択します。

         (オプション) ルールのタグを 1 つ、または複数入力します。詳細については、「Amazon EventBridge のタグ」を参照してください。

16.    [Next] (次へ) を選択します。

17.    ルールの詳細を確認してから、[Create rule] (ルールを作成) を選択します。