AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Come posso creare una regola in EventBridge per avvisi di accesso dell'utente root di un account AWS?

5 minuti di lettura

Come parte della sicurezza del mio account, desidero ricevere notifiche e-mail quando qualcuno utilizza la Console di gestione AWS accedendo come utente root del mio account AWS.

Risoluzione

Per monitorare l'attività di accesso dell'](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)utente root[ di un account, crea una regola in Amazon EventBridge che monitori l'elemento userIdentity nei log di AWS CloudTrail. La regola in EventBridge utilizza Amazon Simple Notification Service (Amazon SNS) per inviare notifiche quando l'utente root accede alla Console di gestione AWS.

Affinché CloudTrail invii chiamate API a EventBridge, devi creare un trail nella stessa Regione AWS della regola di EventBridge. Configura gli eventi di gestione del trail come Lettura e scrittura o solo Scrittura.

Per creare la regola in EventBridge e il topic SNS, puoi utilizzare Amazon SNS ed EventBridge. Oppure utilizza AWS CloudFormation.

Utilizza Amazon SNS ed EventBridge

Crea un topic Amazon SNS e una sottoscrizione

Completa i seguenti passaggi:

Crea un topic Amazon SNS.
Sottoscrivi topic con un endpoint.
Cerca nella casella di posta l'e-mail di conferma inviata da AWS.
All’interno dell'e-mail, scegli Conferma sottoscrizione per confermare la richiesta di sottoscrizione di SNS. Riceverai un messaggio "Subscription confirmed!" (Sottoscrizione confermata!).

Crea una regola in EventBridge

Completa i seguenti passaggi:

Apri la console EventBridge nella regione Stati Uniti orientali (Virginia settentrionale).
Nel pannello di navigazione, scegli Regole, quindi seleziona Crea regola.
In Nome e Descrizione, inserisci un nome e una descrizione per la regola.
Per Tipo di regola, scegli Regola con un modello di eventi, quindi scegli Avanti.
Per Origine dell'evento, scegli Eventi AWS o eventi partner EventBridge.
Per Modello di eventi, scegli Modello personalizzato (editor JSON).

Nell'editor JSON di Modello di eventi, inserisci il seguente modello di accesso dell'utente root:

{

"detail-type": ["AWS Console Sign In via CloudTrail"],

"detail": {

"userIdentity": {

"type": ["Root"]

}

}

}

Scegli Avanti.
Configura le seguenti impostazioni per la destinazione:
Per Tipi di destinazione, scegli Servizio AWS.
Per Seleziona una destinazione, scegli Argomento SNS.
In Argomento, seleziona il topic che hai creato.
Scegli Avanti.
(Facoltativo) Aggiungi tag al ruolo.
Scegli Avanti.
Controlla i dettagli della regola, quindi scegli Crea regola.

Utilizza CloudFormation

Crea il modello CloudFormation

Per creare la regola in EventBridge e il topic in SNS, inserisci il seguente modello YAML in un editor di testo, quindi salva il file:

# Copyright 2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.
# Permission is hereby granted, free of charge, to any person obtaining a copy of this
# software and associated documentation files (the "Software"), to deal in the Software
# without restriction, including without limitation the rights to use, copy, modify,
# merge, publish, distribute, sublicense, and/or sell copies of the Software, and to
# permit persons to whom the Software is furnished to do so.
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,
# INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A
# PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
# HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
# OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
# SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

AWSTemplateFormatVersion: '2010-09-09'
Description: ROOT-AWS-Console-Sign-In-via-CloudTrail
Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: Amazon SNS parameters
      Parameters:
      - Email Address
Parameters:
  EmailAddress:
    Type: String
    ConstraintDescription: Email address required.
    Description: Enter an email address you want to subscribe to the Amazon SNS topic
      that will send notifications if your account's AWS root user logs in.
Resources:
  RootActivitySNSTopic:
    Type: AWS::SNS::Topic
    Properties:
      DisplayName: ROOT-AWS-Console-Sign-In-via-CloudTrail
      Subscription:
      - Endpoint:
          Ref: EmailAddress
        Protocol: email
      TopicName: ROOT-AWS-Console-Sign-In-via-CloudTrail
  EventsRule:
    Type: AWS::Events::Rule
    Properties:
      Description: Events rule for monitoring root AWS Console Sign In activity
      EventPattern:
        detail-type:
        - AWS Console Sign In via CloudTrail
        detail:
          userIdentity:
            type:
            - Root
      Name:
        Fn::Sub: "${AWS::StackName}-RootActivityRule"
      State: ENABLED
      Targets:
      - Arn:
          Ref: RootActivitySNSTopic
        Id: RootActivitySNSTopic
    DependsOn:
    - RootActivitySNSTopic
  RootPolicyDocument:
    Type: AWS::SNS::TopicPolicy
    Properties:
      PolicyDocument:
        Id: RootPolicyDocument
        Version: '2012-10-17'
        Statement:
        - Sid: RootPolicyDocument
          Effect: Allow
          Principal:
            Service: events.amazonaws.com
          Action: sns:Publish
          Resource:
          - Ref: RootActivitySNSTopic
      Topics:
      - Ref: RootActivitySNSTopic
Outputs:
  EventsRule:
    Value:
      Ref: EventsRule
    Export:
      Name:
        Fn::Sub: "${AWS::StackName}-RootAPIMonitorEventsRule"
    Description: Event Rule ID.

Crea lo stack in CloudFormation

Utilizza la console CloudFormation per creare lo stack in CloudFormation. Nella pagina Crea stack, scegli Carica un file di modello per caricare il modello che hai creato. Nella pagina Configura opzioni dello stack, in Opzioni di notifica, inserisci l'indirizzo e-mail a cui desideri che AWS invii le notifiche.

Verifica la configurazione di SNS

Completa i seguenti passaggi:

Esci dalla Console di gestione AWS, quindi accedi alla Console di gestione AWS come utente root dell'account.
Cerca nella casella di posta una notifica di AWS.
Osserva i record di CloudTrail userIdentity, sourceIPAddress e MFAUsed che contengono dettagli sull'evento di accesso.

Nota: per non ricevere più notifiche, elimina lo stack creato in CloudFormation.

Informazioni correlate

How to Receive Notifications When Your AWS Account’s Root Access Keys Are Used (Come ricevere notifiche quando si utilizzano le chiavi di accesso dell'utente root di un account AWS)

Monitoraggio e invio di notifiche sull'attività degli utenti root dell'account AWS

AWS::CloudWatch::Alarm

Argomenti: Security, Identity, & Compliance
Tag: AWS Identity and Access Management
Lingua: Italiano

AWS UFFICIALEAggiornata 2 mesi fa

Come posso creare una regola in EventBridge per avvisi di accesso dell'utente root di un account AWS?

Risoluzione

Utilizza Amazon SNS ed EventBridge

Utilizza CloudFormation

Verifica la configurazione di SNS

Informazioni correlate

Contenuto pertinente