Como faço para criar uma regra de evento do EventBridge para me notificar de que minha conta de usuário raiz da AWS foi usada?

4 minuto de leitura
0

Quero receber notificações quando alguém usa minha conta de usuário raiz da AWS.

Resolução

Inicie uma pilha do AWS CloudFormation para criar um tópico do Amazon Simple Notification Service (Amazon SNS). Em seguida, crie uma regra de evento do Amazon EventBridge para monitorar os logins raiz de userIdentity no Console de Gerenciamento da AWS.

Importante: antes de começar, certifique-se de definir seus eventos de leitura e gravação do AWS CloudTrail Management como Tudo ou Somente gravação. Isso permitirá que os eventos do EventBridge iniciem a notificação do evento de login. Para obter mais informações, consulte Ler e gravar eventos.

  1. Copie e cole esse modelo YAML em sua ferramenta de edição favorita e salve-o:

    # Copyright 2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.
    # Permission is hereby granted, free of charge, to any person obtaining a copy of this
    # software and associated documentation files (the "Software"), to deal in the Software
    # without restriction, including without limitation the rights to use, copy, modify,
    # merge, publish, distribute, sublicense, and/or sell copies of the Software, and to
    # permit persons to whom the Software is furnished to do so.
    #
    # THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,
    # INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A
    # PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
    # HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
    # OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
    # SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
    
    AWSTemplateFormatVersion: '2010-09-09'
    Description: ROOT-AWS-Console-Sign-In-via-CloudTrail
    Metadata:
      AWS::CloudFormation::Interface:
        ParameterGroups:
        - Label:
            default: Amazon SNS parameters
          Parameters:
          - Email Address
    Parameters:
      EmailAddress:
        Type: String
        ConstraintDescription: Email address required.
        Description: Enter an email address you want to subscribe to the Amazon SNS topic
          that will send notifications if your account's AWS root user logs in.
    Resources:
      RootActivitySNSTopic:
        Type: AWS::SNS::Topic
        Properties:
          DisplayName: ROOT-AWS-Console-Sign-In-via-CloudTrail
          Subscription:
          - Endpoint:
              Ref: EmailAddress
            Protocol: email
          TopicName: ROOT-AWS-Console-Sign-In-via-CloudTrail
      EventsRule:
        Type: AWS::Events::Rule
        Properties:
          Description: Events rule for monitoring root AWS Console Sign In activity
          EventPattern:
            detail-type:
            - AWS Console Sign In via CloudTrail
            detail:
              userIdentity:
                type:
                - Root
          Name:
            Fn::Sub: "${AWS::StackName}-RootActivityRule"
          State: ENABLED
          Targets:
          - Arn:
              Ref: RootActivitySNSTopic
            Id: RootActivitySNSTopic
        DependsOn:
        - RootActivitySNSTopic
      RootPolicyDocument:
        Type: AWS::SNS::TopicPolicy
        Properties:
          PolicyDocument:
            Id: RootPolicyDocument
            Version: '2012-10-17'
            Statement:
            - Sid: RootPolicyDocument
              Effect: Allow
              Principal:
                Service: events.amazonaws.com
              Action: sns:Publish
              Resource:
              - Ref: RootActivitySNSTopic
          Topics:
          - Ref: RootActivitySNSTopic
    Outputs:
      EventsRule:
        Value:
          Ref: EventsRule
        Export:
          Name:
            Fn::Sub: "${AWS::StackName}-RootAPIMonitorEventsRule"
        Description: Event Rule ID.
  2. Abra o console do CloudFormation na região Leste dos EUA (Norte da Virgínia) e escolha Criar pilha.

    Observação: crie a pilha do CloudFormation na região Leste dos EUA (Norte da Virgínia).

  3. Selecione Criar pilha e, em seguida, selecione Com novos recursos (padrão).

  4. Escolha Fazer upload de um arquivo de modelo, Próximo e, em seguida, Escolher arquivo.

  5. Escolha o modelo que você salvou na etapa 1 e escolha Próximo.

  6. Em Nome da pilha, insira um nome significativo para você, como Root-AWS-Console-Sign-In-CloudTrail.

  7. Em Endereço de e-mail, insira seu endereço de e-mail e escolha Próximo.
    Observação: a AWS enviará o e-mail de confirmação para esse endereço de e-mail.

  8. Em Opções, escolha Próximo e, em seguida, escolha Criar.

  9. Verifique se o e-mail de confirmação da AWS chegou em sua caixa de entrada e, em seguida, escolha Confirmar assinatura para confirmar a solicitação de assinatura do SNS. Você receberá uma mensagem de Assinatura confirmada!.

  10. Para testar as notificações, saia do Console de Gerenciamento da AWS. Em seguida, faça login no Console de Gerenciamento da AWS com sua conta de usuário raiz da AWS.

  11. Verifique se há uma mensagem de notificação da AWS em sua caixa de entrada de e-mail. Observe os registros do CloudTrail userIdentity, sourceIPAddress e MFAUsed, que contêm detalhes do evento de login.

Se não quiser receber notificações, exclua a pilha do CloudFormation que você criou na etapa 2.

Informações relacionadas

Criar uma pilha no console do AWS CloudFormation

Como receber notificações quando as chaves de acesso raiz da sua conta da AWS são usadas

Monitorar e notificar sobre a atividade do usuário raiz da conta da AWS

AWS::CloudWatch::Alarm

AWS OFICIAL
AWS OFICIALAtualizada há 6 meses