내 AWS 루트 사용자 계정이 사용되었음을 알리는 EventBridge 이벤트 규칙을 생성하려면 어떻게 해야 하나요?
누군가 내 AWS 루트 사용자 계정을 사용할 때 알림을 받고 싶습니다.
해결 방법
AWS CloudFormation 스택을 실행하여 Amazon Simple Notification Service(SNS) 주제를 생성합니다. 그런 다음 AWS Management Console에서 userIdentity 루트 로그인을 모니터링하는 Amazon EventBridge 이벤트 규칙을 생성합니다.
중요: 시작하기 전에 AWS CloudTrail Management 읽기 및 쓰기 이벤트를 모두 또는 쓰기 전용으로 설정했는지 확인하세요. 이렇게 하면 EventBridge 이벤트가 로그인 이벤트 알림을 시작할 수 있습니다. 자세한 내용은 읽기 및 쓰기 이벤트를 참조하세요.
-
이 YAML 템플릿을 즐겨 사용하는 편집기 도구에 복사하여 붙여넣은 다음 저장합니다.
# Copyright 2019 Amazon.com, Inc. or its affiliates. All Rights Reserved. # Permission is hereby granted, free of charge, to any person obtaining a copy of this # software and associated documentation files (the "Software"), to deal in the Software # without restriction, including without limitation the rights to use, copy, modify, # merge, publish, distribute, sublicense, and/or sell copies of the Software, and to # permit persons to whom the Software is furnished to do so. # # THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, # INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A # PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT # HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION # OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE # SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. AWSTemplateFormatVersion: '2010-09-09' Description: ROOT-AWS-Console-Sign-In-via-CloudTrail Metadata: AWS::CloudFormation::Interface: ParameterGroups: - Label: default: Amazon SNS parameters Parameters: - Email Address Parameters: EmailAddress: Type: String ConstraintDescription: Email address required. Description: Enter an email address you want to subscribe to the Amazon SNS topic that will send notifications if your account's AWS root user logs in. Resources: RootActivitySNSTopic: Type: AWS::SNS::Topic Properties: DisplayName: ROOT-AWS-Console-Sign-In-via-CloudTrail Subscription: - Endpoint: Ref: EmailAddress Protocol: email TopicName: ROOT-AWS-Console-Sign-In-via-CloudTrail EventsRule: Type: AWS::Events::Rule Properties: Description: Events rule for monitoring root AWS Console Sign In activity EventPattern: detail-type: - AWS Console Sign In via CloudTrail detail: userIdentity: type: - Root Name: Fn::Sub: "${AWS::StackName}-RootActivityRule" State: ENABLED Targets: - Arn: Ref: RootActivitySNSTopic Id: RootActivitySNSTopic DependsOn: - RootActivitySNSTopic RootPolicyDocument: Type: AWS::SNS::TopicPolicy Properties: PolicyDocument: Id: RootPolicyDocument Version: '2012-10-17' Statement: - Sid: RootPolicyDocument Effect: Allow Principal: Service: events.amazonaws.com Action: sns:Publish Resource: - Ref: RootActivitySNSTopic Topics: - Ref: RootActivitySNSTopic Outputs: EventsRule: Value: Ref: EventsRule Export: Name: Fn::Sub: "${AWS::StackName}-RootAPIMonitorEventsRule" Description: Event Rule ID. -
미국 동부(버지니아 북부) 리전에서 CloudFormation 콘솔을 연 다음 스택 생성을 선택합니다.
참고: 미국 동부(버지니아 북부) 리전에서 CloudFormation 스택을 생성해야 합니다.
-
스택 생성을 선택한 다음 **새 리소스 사용(표준)**을 선택합니다.
-
템플릿 파일 업로드, 다음을 선택한 다음 파일 선택을 선택합니다.
-
1단계에서 저장한 템플릿을 선택한 다음 다음을 선택합니다.
-
스택 이름에 의미 있는 이름(예: Root-AWS-Console-Sign-In-CloudTrail)을 입력합니다.
-
이메일주소에 이메일 주소를 입력한 다음 다음을 선택합니다.
참고: AWS가 이 이메일 주소로 확인 이메일을 보냅니다. -
옵션에서 다음을 선택한 다음 생성을 선택합니다.
-
이메일 받은 편지함에서 AWS 확인 이메일을 확인한 다음 구독 확인에서 SNS 구독 요청 확인을 선택합니다. **구독이 확인되었습니다!**라는 메시지가 표시됩니다.
-
알림을 테스트하려면 AWS 관리 콘솔에서 로그아웃합니다. 그런 다음 AWS 루트 사용자 계정으로 AWS 관리 콘솔에 로그인합니다.
-
이메일 받은 편지함에서 AWS 알림 메시지를 확인합니다. CloudTrail 레코드를 확인합니다. userIdentity, sourceIPAddress 및 MFAUsed에 로그인 이벤트에 대한 세부 정보가 포함되어 있는지 확인합니다.
알림을 받지 않으려면 2단계에서 생성한 CloudFormation 스택을 삭제합니다.
관련 정보
관련 콘텐츠
- 질문됨 10일 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 2년 전
