使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

IAM Identity Center 以及 Cloudwatch Event

0

【以下的问题经过翻译处理】 我希望能够在 IAM Identity Center 中的权限集或所附客户管理策略有任何更新时触发 lambda 函数。我还希望在 IAM Identity Center 中的组发生任何变化时触发 lambda。文档中没有太多关于这些方面的内容。

https://docs.aws.amazon.com/singlesignon/latest/userguide/cloudwatch-integration.html

此外,在cloudwatch事件规则中,没有选择IAM Identity Center 作为事件模式中的AWS服务的选项。在上述场景中,我该如何捕获这些内容?

1 回答
0

【以下的回答经过翻译处理】 简单回答你的问题是肯定的,当IAM身份中心中的权限集或附加的客户自管策略有任何更新时,您可以触发Lambda函数。如果IAM Identity Center 中的组发生任何更改,您也可以触发Lambda函数。您可以使用CloudWatch Events和IAM Identity Center API调用来实现此操作。

CloudWatch Events可以与IAM Identity Center 配合使用,在组织中发生管理员指定的操作时引发事件。例如,您可以创建一个规则,以匹配CreatePermissionSet,UpdatePermissionSet,AttachManagedPolicyToPermissionSet,DetachManagedPolicyFromPermissionSet,CreateGroup,UpdateGroup或DeleteGroup API调用。然后,您可以指定一个Lambda函数作为这些事件的目标,并编写自定义逻辑来处理它们。

请尝试以下操作:

  1. 创建一个Lambda函数,当CloudWatch事件触发时执行所需操作。例如,您可以记录事件的详细信息,发送通知或执行一些纠正操作。

  2. 创建一个CloudWatch Events规则,以匹配要监视的IAM Identity Center API调用。您可以使用aws:sourceIPAddress条件键按源IP地址过滤事件。

  3. 将Lambda函数添加为CloudWatch Events规则的目标,并为目标配置输入。您可以将整个事件或部分事件作为输入传递给Lambda函数。

  4. 通过执行您要监视的IAM Identity Center API调用来测试您的CloudWatch Events规则和Lambda函数,并验证Lambda函数被调用并正确执行。

这里是一些我使用到的参考文档:

https://docs.aws.amazon.com/singlesignon/latest/userguide/cloudwatch-integration.html https://docs.aws.amazon.com/singlesignon/latest/userguide/security-logging-and-monitoring.html https://docs.aws.amazon.com/singlesignon/latest/userguide/understanding-sign-in-events.html

profile picture
专家
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则