Wie erstelle ich eine EventBridge-Ereignisregel, um mich darüber zu informieren, dass mein AWS-Root-Benutzerkonto verwendet wurde?

Behebung

Starten Sie einen AWS-CloudFormation-Stapel, um ein Amazon Simple Notification Service (Amazon SNS)-Thema zu erstellen. Erstellen Sie anschließend eine Amazon-EventBridge-Ereignisregel, um UserIdentity-Root-Logins von der AWS-Managementkonsole aus zu überwachen.

**Wichtig:**Bevor Sie beginnen, stellen Sie sicher, dass Sie in AWS CloudTrail Management Ihre Lese- und Schreibereignisse auf Alle oder Nur schreiben setzen. Auf diese Weise können die EventBridge-Ereignisse die Benachrichtigung über das Anmeldeereignis auslösen. Weitere Informationen finden Sie unter Lese- und Schreibereignisse.

1. Kopieren Sie diese YAML-Vorlage, fügen Sie sie in Ihr bevorzugtes Editor-Tool ein und speichern Sie sie dann:

   # Copyright 2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.
   # Permission is hereby granted, free of charge, to any person obtaining a copy of this
   # software and associated documentation files (the "Software"), to deal in the Software
   # without restriction, including without limitation the rights to use, copy, modify,
   # merge, publish, distribute, sublicense, and/or sell copies of the Software, and to
   # permit persons to whom the Software is furnished to do so.
   #
   # THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,
   # INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A
   # PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
   # HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
   # OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
   # SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
   
   AWSTemplateFormatVersion: '2010-09-09'
   Description: ROOT-AWS-Console-Sign-In-via-CloudTrail
   Metadata:
     AWS::CloudFormation::Interface:
       ParameterGroups:
       - Label:
           default: Amazon SNS parameters
         Parameters:
         - Email Address
   Parameters:
     EmailAddress:
       Type: String
       ConstraintDescription: Email address required.
       Description: Enter an email address you want to subscribe to the Amazon SNS topic
         that will send notifications if your account's AWS root user logs in.
   Resources:
     RootActivitySNSTopic:
       Type: AWS::SNS::Topic
       Properties:
         DisplayName: ROOT-AWS-Console-Sign-In-via-CloudTrail
         Subscription:
         - Endpoint:
             Ref: EmailAddress
           Protocol: email
         TopicName: ROOT-AWS-Console-Sign-In-via-CloudTrail
     EventsRule:
       Type: AWS::Events::Rule
       Properties:
         Description: Events rule for monitoring root AWS Console Sign In activity
         EventPattern:
           detail-type:
           - AWS Console Sign In via CloudTrail
           detail:
             userIdentity:
               type:
               - Root
         Name:
           Fn::Sub: "${AWS::StackName}-RootActivityRule"
         State: ENABLED
         Targets:
         - Arn:
             Ref: RootActivitySNSTopic
           Id: RootActivitySNSTopic
       DependsOn:
       - RootActivitySNSTopic
     RootPolicyDocument:
       Type: AWS::SNS::TopicPolicy
       Properties:
         PolicyDocument:
           Id: RootPolicyDocument
           Version: '2012-10-17'
           Statement:
           - Sid: RootPolicyDocument
             Effect: Allow
             Principal:
               Service: events.amazonaws.com
             Action: sns:Publish
             Resource:
             - Ref: RootActivitySNSTopic
         Topics:
         - Ref: RootActivitySNSTopic
   Outputs:
     EventsRule:
       Value:
         Ref: EventsRule
       Export:
         Name:
           Fn::Sub: "${AWS::StackName}-RootAPIMonitorEventsRule"
       Description: Event Rule ID.

2. Öffnen Sie die CloudFormation-Konsole in der Region USA Ost (Nord-Virginia) und wählen Sie dann Stapel erstellen aus.

   **Hinweis:**Sie müssen den CloudFormation-Stapel in der Region USA Ost (Nord-Virginia) erstellen.

3. Wählen Sie Stapel erstellen und dann Mit neuen Ressourcen (Standard) aus.

4. Wählen Sie Eine Vorlagendatei hochladen, Weiter und dann Datei auswählen aus.

5. Wählen Sie die Vorlage aus, die Sie in Schritt 1 gespeichert haben, und klicken Sie dann auf Weiter.

6. Geben Sie im Feld Stapelname einen Namen ein, der für Sie von Bedeutung ist, z. B. Root-AWS-Console-Sign-In-CloudTrail.

7. Geben Sie unter E-Mail-Adresse Ihre E-Mail-Adresse ein, und wählen Sie dann Weiter aus.
   **Hinweis:**AWS sendet die Bestätigungs-E-Mail an diese E-Mail-Adresse.

8. Wählen Sie unter Optionen die Option Weiter und dann Erstellen aus.

9. Suchen Sie in Ihrem E-Mail-Posteingang nach der AWS-Bestätigungs-E-Mail und wählen Sie dann Abonnement bestätigen, um die SNS-Abonnementanfrage zu bestätigen. Sie erhalten eine Abonnement bestätigt!-Nachricht.

10. Um Benachrichtigungen zu testen, melden Sie sich von der AWS-Managementkonsole ab. Melden Sie sich dann mit Ihrem AWS-Root-Benutzerkonto bei der AWS-Managementkonsole an.

11. Suchen Sie in Ihrem E-Mail-Posteingang nach einer AWS-Benachrichtigung. Beachten Sie die CloudTrail-Datensätze userIdentity, sourceIpAddress und MFAUsed, die Details für das Anmeldeereignis enthalten.

Wenn Sie keine Benachrichtigungen erhalten möchten, löschen Sie den CloudFormation-Stapel, den Sie in Schritt 2 erstellt haben.

Ähnliche Informationen

Einen Stapel auf der AWS-CloudFormation-Konsole erstellen

So erhalten Sie Benachrichtigungen, wenn die Root-Zugriffsschlüssel Ihres AWS-Kontos verwendet werden

Überwachung und Benachrichtigung der Root-Benutzeraktivitäten des AWS-Kontos

AWS::CloudWatch::Alarm