Como posso ser notificado quando alterações no IAM forem feitas em minha conta da AWS?

Data da última atualização: 24/08/2022

Criei uma regra do Amazon EventBridge para receber uma notificação quando alterações forem feitas nas identidades ou chamadas de API do AWS Identity and Access Management (IAM). No entanto, a regra de evento não está sendo iniciada quando alterações são feitas no IAM.

Breve descrição

Crie uma regra do EventBridge com um padrão de evento que corresponda a uma chamada de API do IAM específica ou a várias chamadas de API do IAM. Em seguida, associe a regra a um tópico do Amazon Simple Notification Service (Amazon SNS). Quando a regra é executada, uma notificação do SNS é enviada para as assinaturas correspondentes.

Resolução

Se você ainda não criou um tópico do Amazon SNS, siga as instruções para Conceitos básicos do Amazon SNS.

Importante:

  • O serviço IAM e as chamadas de API da AWS relacionadas estão disponíveis somente na região Leste dos EUA (Norte da Virgínia). Isso significa que a regra do EventBridge deve estar na região Leste dos EUA (Norte da Virgínia).
  • Essa resolução usa o AWS CloudTrail. Para que o CloudTrail envie chamadas de API para o EventBridge, uma trilha deve existir na mesma região que a regra do EventBridge. Certifique-se de configurar os eventos de gerenciamento da trilha como Somente gravação ou Todos. Para obter mais informações, consulte Eventos somente leitura e somente gravação.

O padrão de evento personalizado do exemplo a seguir inicia uma notificação quando as chamadas de API CreateUser e DeleteUser são feitas em sua conta.

1.    Abra o console do EventBridge na região Leste dos EUA (Norte da Virgínia).

2.    No painel de navegação, escolha Regras e selecione Criar regra.

3.    Insira um Nome e uma Descrição para a regra.

4.    Para Barramento de eventos, selecione o barramento de eventos padrão da AWS. Quando o IAM emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.

5.    Em Tipo de regra, escolha Regra com um padrão de evento e selecione Próximo.

6.    Em Origem do evento, escolha Eventos da AWS ou Eventos de parceiros do EventBridge.

7.    Em Padrão de evento, faça o seguinte:

        Na lista suspensa Origem do evento, escolha Serviços da AWS.

        Na lista suspensa de serviços da AWS, escolha IAM.

        Na lista suspensa Tipo de evento, escolha Chamada de API da AWS via CloudTrail.

        Para iniciar a regra para chamadas de API específicas, escolha Operações específicas.

        Na caixa de texto, insira o nome de uma chamada de API para a qual você deseja receber uma notificação. Por exemplo, CreateUser.

        Para adicionar mais chamadas de API, selecione Adicionar.

8.    Escolha Editar padrão abaixo da caixa de visualização do Padrão do evento.

9.    Copie e cole o modelo de exemplo a seguir no painel de visualização do padrão de evento e escolha Salvar.

{
  "source": [
    "aws.iam"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "iam.amazonaws.com"
    ],
    "eventName": [
      "CreateUser",
      "DeleteUser"
    ]
  }
}

10.    Selecione Próximo.

11.    Em Tipos de destino, escolha Serviço da AWS.

13.    Em Selecionar destino, escolha o Tópico do SNS.

14.    Na lista suspensa Tópico, escolha o tópico do SNS.

        (Opcional) Escolha Adicionar outro alvo para adicionar outro alvo para essa regra.

15.    Selecione Próximo.

         (Opcional) Insira uma ou mais etiquetas para a regra. Para obter mais informações, consulte Tags do Amazon EventBridge.

16.    Selecione Próximo.

17.    Revise os detalhes da regra e selecione Criar regra.