Wie erstelle ich eine EventBridge-Ereignisregel, um mich darüber zu informieren, dass mein AWS-Root-Benutzerkonto verwendet wurde?
Ich möchte Benachrichtigungen erhalten, wenn jemand mein AWS-Root-Benutzerkonto verwendet.
Behebung
Starten Sie einen AWS-CloudFormation-Stapel, um ein Amazon Simple Notification Service (Amazon SNS)-Thema zu erstellen. Erstellen Sie anschließend eine Amazon-EventBridge-Ereignisregel, um UserIdentity-Root-Logins von der AWS-Managementkonsole aus zu überwachen.
**Wichtig:**Bevor Sie beginnen, stellen Sie sicher, dass Sie in AWS CloudTrail Management Ihre Lese- und Schreibereignisse auf Alle oder Nur schreiben setzen. Auf diese Weise können die EventBridge-Ereignisse die Benachrichtigung über das Anmeldeereignis auslösen. Weitere Informationen finden Sie unter Lese- und Schreibereignisse.
-
Kopieren Sie diese YAML-Vorlage, fügen Sie sie in Ihr bevorzugtes Editor-Tool ein und speichern Sie sie dann:
# Copyright 2019 Amazon.com, Inc. or its affiliates. All Rights Reserved. # Permission is hereby granted, free of charge, to any person obtaining a copy of this # software and associated documentation files (the "Software"), to deal in the Software # without restriction, including without limitation the rights to use, copy, modify, # merge, publish, distribute, sublicense, and/or sell copies of the Software, and to # permit persons to whom the Software is furnished to do so. # # THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, # INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A # PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT # HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION # OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE # SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. AWSTemplateFormatVersion: '2010-09-09' Description: ROOT-AWS-Console-Sign-In-via-CloudTrail Metadata: AWS::CloudFormation::Interface: ParameterGroups: - Label: default: Amazon SNS parameters Parameters: - Email Address Parameters: EmailAddress: Type: String ConstraintDescription: Email address required. Description: Enter an email address you want to subscribe to the Amazon SNS topic that will send notifications if your account's AWS root user logs in. Resources: RootActivitySNSTopic: Type: AWS::SNS::Topic Properties: DisplayName: ROOT-AWS-Console-Sign-In-via-CloudTrail Subscription: - Endpoint: Ref: EmailAddress Protocol: email TopicName: ROOT-AWS-Console-Sign-In-via-CloudTrail EventsRule: Type: AWS::Events::Rule Properties: Description: Events rule for monitoring root AWS Console Sign In activity EventPattern: detail-type: - AWS Console Sign In via CloudTrail detail: userIdentity: type: - Root Name: Fn::Sub: "${AWS::StackName}-RootActivityRule" State: ENABLED Targets: - Arn: Ref: RootActivitySNSTopic Id: RootActivitySNSTopic DependsOn: - RootActivitySNSTopic RootPolicyDocument: Type: AWS::SNS::TopicPolicy Properties: PolicyDocument: Id: RootPolicyDocument Version: '2012-10-17' Statement: - Sid: RootPolicyDocument Effect: Allow Principal: Service: events.amazonaws.com Action: sns:Publish Resource: - Ref: RootActivitySNSTopic Topics: - Ref: RootActivitySNSTopic Outputs: EventsRule: Value: Ref: EventsRule Export: Name: Fn::Sub: "${AWS::StackName}-RootAPIMonitorEventsRule" Description: Event Rule ID.
-
Öffnen Sie die CloudFormation-Konsole in der Region USA Ost (Nord-Virginia) und wählen Sie dann Stapel erstellen aus.
**Hinweis:**Sie müssen den CloudFormation-Stapel in der Region USA Ost (Nord-Virginia) erstellen.
-
Wählen Sie Stapel erstellen und dann Mit neuen Ressourcen (Standard) aus.
-
Wählen Sie Eine Vorlagendatei hochladen, Weiter und dann Datei auswählen aus.
-
Wählen Sie die Vorlage aus, die Sie in Schritt 1 gespeichert haben, und klicken Sie dann auf Weiter.
-
Geben Sie im Feld Stapelname einen Namen ein, der für Sie von Bedeutung ist, z. B. Root-AWS-Console-Sign-In-CloudTrail.
-
Geben Sie unter E-Mail-Adresse Ihre E-Mail-Adresse ein, und wählen Sie dann Weiter aus.
**Hinweis:**AWS sendet die Bestätigungs-E-Mail an diese E-Mail-Adresse. -
Wählen Sie unter Optionen die Option Weiter und dann Erstellen aus.
-
Suchen Sie in Ihrem E-Mail-Posteingang nach der AWS-Bestätigungs-E-Mail und wählen Sie dann Abonnement bestätigen, um die SNS-Abonnementanfrage zu bestätigen. Sie erhalten eine Abonnement bestätigt!-Nachricht.
-
Um Benachrichtigungen zu testen, melden Sie sich von der AWS-Managementkonsole ab. Melden Sie sich dann mit Ihrem AWS-Root-Benutzerkonto bei der AWS-Managementkonsole an.
-
Suchen Sie in Ihrem E-Mail-Posteingang nach einer AWS-Benachrichtigung. Beachten Sie die CloudTrail-Datensätze userIdentity, sourceIpAddress und MFAUsed, die Details für das Anmeldeereignis enthalten.
Wenn Sie keine Benachrichtigungen erhalten möchten, löschen Sie den CloudFormation-Stapel, den Sie in Schritt 2 erstellt haben.
Ähnliche Informationen
Einen Stapel auf der AWS-CloudFormation-Konsole erstellen
Überwachung und Benachrichtigung der Root-Benutzeraktivitäten des AWS-Kontos
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Monaten