Como posso ser notificado quando alterações no IAM forem feitas em minha conta da AWS?

Última atualização: 11/01/2022

Criei uma regra do Amazon EventBridge para receber uma notificação quando alterações forem feitas nas identidades ou chamadas de API do AWS Identity and Access Management (IAM). No entanto, a regra de evento não está sendo iniciada quando alterações são feitas no IAM.

Breve descrição

Crie uma regra do EventBridge com um padrão de evento que corresponda a uma chamada de API do IAM específica ou a várias chamadas de API do IAM. Em seguida, associe a regra a um tópico do Amazon Simple Notification Service (Amazon SNS). Quando a regra é executada, uma notificação do SNS é enviada para as assinaturas correspondentes.

Resolução

Se você ainda não criou um tópico do Amazon SNS, siga as instruções para Conceitos básicos do Amazon SNS.

Importante:

  • O serviço IAM e as chamadas de API da AWS relacionadas estão disponíveis somente na região Leste dos EUA (Norte da Virgínia). Isso significa que a regra do EventBridge deve estar na região Leste dos EUA (Norte da Virgínia).
  • Esta resolução usa o CloudTrail. Para que o CloudTrail envie chamadas de API para o EventBridge, uma trilha deve existir na mesma região que a regra do EventBridge. Certifique-se de configurar os eventos de gerenciamento da trilha como Somente gravação ou Todos. Para obter mais informações, consulte Eventos somente leitura e somente gravação.

O padrão de evento personalizado do exemplo a seguir inicia uma notificação quando as chamadas de API CreateUser e DeleteUser são feitas em sua conta.

1.    Abra o console do EventBridge na região Leste dos EUA (Norte da Virgínia).

2.    No painel de navegação, escolha Rules (Regras) e, em seguida, Create rule (Criar regra).

3.    Em Define pattern (Definir padrão), escolha Event pattern (Padrão de evento).

4.    Em Event pattern matching (Correspondência de padrões de eventos), escolha Pre-defined pattern by service (Padrão predefinido por serviço).

5.    Na lista suspensa Service Name (Nome do serviço), escolha IAM.

6.    Na lista suspensa Event Type (Tipo de evento), escolha AWS API Call via CloudTrail (Chamada de API da AWS via CloudTrail).

7.    Para iniciar a regra para chamadas de API específicas, escolha Specific operation(s) (Operações específicas).

8.    Na caixa de texto, insira o nome de uma operação do IAM. Por exemplo, CreateUser.

9.    Para adicionar mais operações, escolha o ícone +.

10.    Na previsualização Event Pattern (Padrão de evento), escolha Edit (Editar).

11.    Copie e cole o modelo de exemplo a seguir no painel de visualização do padrão de evento e escolha Save (Salvar).

{
    "source": [
        "aws.iam"
    ],
    "detail-type": [
        "AWS API Call via CloudTrail"
    ],
    "detail": {
        "eventSource": [
            "iam.amazonaws.com"
        ],
        "eventName": [
            "CreateUser",
            "DeleteUser"
        ]
    }
}

12.    Em Targets (Destinos), escolha Add target (Adicionar destino).

13.    Em Select target (Selecionar destino), escolha o tópico do SNS.

14.    Na lista suspensa Topic (Tópico), escolha o tópico do SNS.

15.    Escolha Configure details (Configurar detalhes).

16.    Em Configure rule details (Configurar detalhes da regra), insira um nome e uma descrição para a regra e escolha Create rule (Criar regra).