¿Cómo creo una regla de eventos de EventBridge para que me notifique que se utilizó mi cuenta de usuario raíz de AWS?
Quiero recibir notificaciones cuando alguien utilice mi cuenta de usuario raíz de AWS.
Solución
Lance una pila de AWS CloudFormation para crear un tema de Amazon Simple Notification Service (Amazon SNS). A continuación, cree una regla de eventos de Amazon EventBridge para monitorear los inicios de sesión de raíz de userIdentity desde la consola de administración de AWS.
Importante: Antes de empezar, asegúrese de configurar los eventos de lectura y escritura de AWS CloudTrail Management como Todo o Solo escritura. Esto permite que los eventos de EventBridge inicien la notificación del evento de inicio de sesión. Para obtener más información, consulte Read and write events.
-
Copie y pegue esta plantilla de YAML en su herramienta de edición favorita y, a continuación, guárdela:
# Copyright 2019 Amazon.com, Inc. or its affiliates. All Rights Reserved. # Permission is hereby granted, free of charge, to any person obtaining a copy of this # software and associated documentation files (the "Software"), to deal in the Software # without restriction, including without limitation the rights to use, copy, modify, # merge, publish, distribute, sublicense, and/or sell copies of the Software, and to # permit persons to whom the Software is furnished to do so. # # THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, # INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A # PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT # HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION # OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE # SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. AWSTemplateFormatVersion: '2010-09-09' Description: ROOT-AWS-Console-Sign-In-via-CloudTrail Metadata: AWS::CloudFormation::Interface: ParameterGroups: - Label: default: Amazon SNS parameters Parameters: - Email Address Parameters: EmailAddress: Type: String ConstraintDescription: Email address required. Description: Enter an email address you want to subscribe to the Amazon SNS topic that will send notifications if your account's AWS root user logs in. Resources: RootActivitySNSTopic: Type: AWS::SNS::Topic Properties: DisplayName: ROOT-AWS-Console-Sign-In-via-CloudTrail Subscription: - Endpoint: Ref: EmailAddress Protocol: email TopicName: ROOT-AWS-Console-Sign-In-via-CloudTrail EventsRule: Type: AWS::Events::Rule Properties: Description: Events rule for monitoring root AWS Console Sign In activity EventPattern: detail-type: - AWS Console Sign In via CloudTrail detail: userIdentity: type: - Root Name: Fn::Sub: "${AWS::StackName}-RootActivityRule" State: ENABLED Targets: - Arn: Ref: RootActivitySNSTopic Id: RootActivitySNSTopic DependsOn: - RootActivitySNSTopic RootPolicyDocument: Type: AWS::SNS::TopicPolicy Properties: PolicyDocument: Id: RootPolicyDocument Version: '2012-10-17' Statement: - Sid: RootPolicyDocument Effect: Allow Principal: Service: events.amazonaws.com Action: sns:Publish Resource: - Ref: RootActivitySNSTopic Topics: - Ref: RootActivitySNSTopic Outputs: EventsRule: Value: Ref: EventsRule Export: Name: Fn::Sub: "${AWS::StackName}-RootAPIMonitorEventsRule" Description: Event Rule ID. -
Abra la consola de CloudFormation en la región Este de EE. UU. (Norte de Virginia) y, a continuación, elija Crear pila.
Nota: Debe crear la pila de CloudFormation en la región Este de EE. UU. (Norte de Virginia).
-
Elija Crear pila, y, a continuación, elija Con recursos nuevos (estándar).
-
Elija Cargar un archivo de plantilla, Siguiente y, a continuación, Elegir archivo.
-
Elija la plantilla que guardó en el paso 1 y, a continuación, elija Siguiente.
-
En Nombre de la pila, escriba un nombre que sea significativo para usted, como Root-AWS-Console-Sign-In-CloudTrail.
-
En Dirección de correo electrónico, escriba su dirección de correo electrónico y, a continuación, elija Siguiente.
Nota: AWS envía el correo electrónico de confirmación a esta dirección de correo electrónico. -
En Opciones, elija Siguiente y, a continuación, elija Crear.
-
Compruebe si ha llegado el correo electrónico de confirmación de AWS a su bandeja de entrada de correo y, a continuación, elija Confirmar suscripción para confirmar la solicitud de suscripción de SNS. Recibirá el mensaje Suscripción confirmada.
-
Para probar las notificaciones, cierre la sesión de la Consola de administración de AWS. A continuación, inicie sesión en la Consola de administración de AWS con su cuenta de usuario raíz de AWS.
-
Revise su bandeja de entrada de correo electrónico para ver si hay un mensaje de notificación de AWS. Tenga en cuenta que CloudTrail registra userIdentity, sourceIPAddress y MFAUsed con los detalles del evento de inicio de sesión.
Si no desea recibir notificaciones, elimine la pila de CloudFormation que creó en el paso 2.
Información relacionada
Creating a stack on the AWS CloudFormation console
How to receive notifications when your AWS account's root access keys are used
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 2 años