Come faccio a creare una regola evento EventBridge per informarmi che è stato utilizzato il mio account utente root AWS?
Desidero ricevere notifiche quando qualcuno utilizza il mio account utente root AWS.
Risoluzione
Avvia uno stack AWS CloudFormation per creare un argomento Amazon Simple Notification Service (Amazon SNS). Quindi, crea una regola evento Amazon EventBridge per monitorare gli accessi root userIdentity dalla Console di gestione AWS.
Importante: prima di iniziare, assicurati di impostare gli eventi di lettura e scrittura della gestione di AWS CloudTrail su Tutti o Solo scrittura. Ciò consente agli eventi EventBridge di avviare la notifica dell'evento di accesso. Per ulteriori informazioni, consulta Eventi in lettura e scrittura.
-
Copia e incolla questo modello YAML nel tuo editor preferito, quindi salvalo:
# Copyright 2019 Amazon.com, Inc. or its affiliates. All Rights Reserved. # Permission is hereby granted, free of charge, to any person obtaining a copy of this # software and associated documentation files (the "Software"), to deal in the Software # without restriction, including without limitation the rights to use, copy, modify, # merge, publish, distribute, sublicense, and/or sell copies of the Software, and to # permit persons to whom the Software is furnished to do so. # # THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, # INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A # PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT # HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION # OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE # SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. AWSTemplateFormatVersion: '2010-09-09' Description: ROOT-AWS-Console-Sign-In-via-CloudTrail Metadata: AWS::CloudFormation::Interface: ParameterGroups: - Label: default: Amazon SNS parameters Parameters: - Email Address Parameters: EmailAddress: Type: String ConstraintDescription: Email address required. Description: Enter an email address you want to subscribe to the Amazon SNS topic that will send notifications if your account's AWS root user logs in. Resources: RootActivitySNSTopic: Type: AWS::SNS::Topic Properties: DisplayName: ROOT-AWS-Console-Sign-In-via-CloudTrail Subscription: - Endpoint: Ref: EmailAddress Protocol: email TopicName: ROOT-AWS-Console-Sign-In-via-CloudTrail EventsRule: Type: AWS::Events::Rule Properties: Description: Events rule for monitoring root AWS Console Sign In activity EventPattern: detail-type: - AWS Console Sign In via CloudTrail detail: userIdentity: type: - Root Name: Fn::Sub: "${AWS::StackName}-RootActivityRule" State: ENABLED Targets: - Arn: Ref: RootActivitySNSTopic Id: RootActivitySNSTopic DependsOn: - RootActivitySNSTopic RootPolicyDocument: Type: AWS::SNS::TopicPolicy Properties: PolicyDocument: Id: RootPolicyDocument Version: '2012-10-17' Statement: - Sid: RootPolicyDocument Effect: Allow Principal: Service: events.amazonaws.com Action: sns:Publish Resource: - Ref: RootActivitySNSTopic Topics: - Ref: RootActivitySNSTopic Outputs: EventsRule: Value: Ref: EventsRule Export: Name: Fn::Sub: "${AWS::StackName}-RootAPIMonitorEventsRule" Description: Event Rule ID.
-
Apri la console CloudFormation nella regione Stati Uniti orientali (Virginia settentrionale), quindi scegli Crea Stack.
Nota: è necessario creare lo stack CloudFormation nella regione Stati Uniti orientali (Virginia settentrionale).
-
Scegli Crea stack, quindi scegli Con nuove risorse (standard).
-
Scegli Carica un file modello, Avanti, quindi Scegli file.
-
Scegli il modello che hai salvato nel passaggio 1, quindi scegli Avanti.
-
In Nome stack, inserisci un nome significativo per te, ad esempio Root-AWS-Console-Sign-In-CloudTrail.
-
In EmailAddress, inserisci il tuo indirizzo e-mail, quindi scegli Avanti.
Nota: AWS invia l'e-mail di conferma a questo indirizzo e-mail. -
In Opzioni, scegli Avanti, quindi scegli Crea.
-
Controlla la tua casella di posta elettronica per l'e-mail di conferma di AWS, quindi scegli Conferma abbonamento per confermare la richiesta di abbonamento a SNS. Riceverai un messaggio Abbonamento confermato!.
-
Per testare le notifiche, esci dalla Console di gestione AWS. Quindi, accedi alla Console di gestione AWS con il tuo account utente root AWS.
-
Controlla la tua casella di posta elettronica per ricevere un messaggio di notifica AWS. Nota i record CloudTrail userIdentity, sourceIPAddress e MFAUsed che contengono i dettagli per l'evento di accesso.
Se non desideri ricevere notifiche, elimina lo stack CloudFormation che hai creato nel passaggio 2.
Informazioni correlate
Creazione di uno stack nella console AWS CloudFormation
Come ricevere notifiche quando si utilizzano chiavi di accesso root del tuo account AWS
Monitoraggio e invio di notifiche sull'attività degli utenti root dell'account AWS
Contenuto pertinente
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa