我希望设置通知以查看何时使用了特定 AWS Identity and Access Management(IAM)凭证或访问密钥。
解决方法
没有预定义的规则可用于跟踪 IAM 凭证的使用情况并发送通知。但是,您可以使用结合了 AWS CloudTrail 和 Amazon EventBridge 的自定义规则。这让您可以发送通知到 Amazon Simple Notification Service(Amazon SNS)主题或 Amazon Simple Queue Service(Amazon SQS)队列。
EventBridge 规则表示为 JSON 对象。规则对事件应用了简单匹配或无匹配逻辑。根据事件的结构,您可以为要匹配的特定条件构建自定义模式。
以下示例规则在配置规则的同一 AWS 区域中跟踪单个访问密钥。
重要提示:
1. 打开 EventBridge console(EventBridge 控制台),然后选择 Rules(规则)。
2. 选择创建规则。
3. 输入规则的 Name(名称)。可选择输入 Description(描述)。然后,选择 Next(下一步)。
4. 对于 Event source(事件源),选择 Other(其他)。
5. 对于 Creation method(创建方法),选择 Custom pattern (JSON editor) [自定义模式(JSON 编辑器)]。
6. 对于 Event pattern(事件模式),输入类似于以下内容的 JSON 模板:
**注意:**您可以修改此模板以跟踪一系列条件的通知,如访问密钥、登录类型或特定身份。
{
"detail-type": [
"AWS API Call via CloudTrail"
],
"detail": {
"userIdentity": {
"accessKeyId": [
"AKIAIOSFODNN7EXAMPLE"
]
}
}
}
7. 选择 Next(下一步)。
8. 对于 Target types(目标类型),选择 AWS service(AWS 服务)。然后,填写以下字段:
对于 Select a target(选择目标),选择 SNS topic(SNS 主题)或 SQS queue(SQS 队列)。
对于 Topic(主题),选择要响应事件的主题。然后,选择 Next(下一步)。
9. (可选)如果需要,可为规则选择标签。
10. 选择 Next(下一步)查看规则。然后,选择 Create rule(创建规则)。
相关信息
Amazon EventBridge 事件模式
获取 AWS 账户的凭证报告