¿Cómo puedo recibir una notificación cuando se realizan cambios relativos a IAM en mi cuenta de AWS?

4 minutos de lectura
0

He creado una regla de Amazon EventBridge para notificarme cuando se realicen cambios en las identidades de AWS Identity and Access Management (IAM) o en las llamadas a la API. Sin embargo, la regla del evento no se inicia cuando se realizan cambios en IAM.

Descripción corta

Crea una regla de EventBridge con un patrón de eventos que coincida con una llamada a la API de IAM específica o varias llamadas a la API de IAM. A continuación, asocie la regla a un tema de Amazon Simple Notification Service (Amazon SNS). Cuando se ejecuta la regla, se envía una notificación de SNS a las suscripciones correspondientes.

Resolución

Si aún no ha creado un tema de Amazon SNS, siga las instrucciones de Introducción a Amazon SNS.

Importante:

  • El servicio de IAM y las llamadas a la API de AWS relacionadas solo están disponibles en la región Este de EE. UU. (Norte de Virginia). Esto implica que la regla de EventBridge debe encontrarse en la región Este de EE. UU. (Norte de Virginia).
  • Esta resolución usa AWS CloudTrail. Para que CloudTrail envíe llamadas a la API a EventBridge, debe existir una traza en la misma región que la regla de EventBridge. Asegúrese de haber configurado los eventos de administración de la traza como Write-only (Solo escritura) o All (Todo). Para obtener más información, consulte Eventos de solo lectura y solo escritura.

El siguiente ejemplo de patrón de eventos personalizados inicia una notificación cuando se realizan llamadas a la API CreateUser y DeleteUser en su cuenta.

1.    Abra la consola de EventBridge en la región Este de EE. UU. (Norte de Virginia).

2.    En el panel de navegación, elija Rules (Reglas) y, a continuación, seleccioneCreate rule (Crear regla).

3.    Complete los campos Name (Nombre) y Description (Descripción) para la regla.

4.    En Event bus (Bus de eventos), seleccione el bus de eventos de AWS predeterminado. Cuando IAM emite un evento, siempre recurre al bus de eventos predeterminado de su cuenta.

5.    En Rule type (Tipo de regla), elija Rule with an event pattern (Regla con un patrón de eventos), y, a continuación, Next (Siguiente).

6.    En Event source (Origen del evento), elija AWS events o EventBridge partner events (Eventos de AWS o Eventos de socio de EventBridge).

7.    En Event pattern (Patrón de eventos), siga estos pasos:

        En la lista desplegable Event source (Origen de eventos), seleccione AWS services (Servicios de AWS).

        En la lista desplegable AWS service (Servicio de AWS), elija IAM.

        En la lista desplegable Event type (Tipo de evento), elija AWS API Call via CloudTrail (Llamada a la API de AWS mediante CloudTrail).

        Para iniciar la regla para llamadas a la API específicas, elija Specific operation(s) (Operaciones específica(s)).

        En el cuadro de texto, indique el nombre de una llamada a la API para la que desea recibir una notificación. Por ejemplo, CreateUser.

        Si desea agregar más llamadas a la API, seleccione Add (Agregar).

8.    Elija Editar patrón debajo del cuadro de vista previa del Patrón de eventos.

9.    Copie y pegue la siguiente plantilla de ejemplo en el panel de vista previa del patrón de eventos y, a continuación, elija Guardar.

{
  "source": [
    "aws.iam"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "iam.amazonaws.com"
    ],
    "eventName": [
      "CreateUser",
      "DeleteUser"
    ]
  }
}

10.    Seleccione Next (Siguiente).

11.    Para Target types (Tipos de destino), elija AWS service (Servicio de AWS).

13.    En Select a target (Seleccionar un destino), elija SNS Topic (Tema de SNS).

14.    En la lista desplegable Topic (Tema), elija su tema de SNS.

        (Opcional) Elija Add another target(Agregar otro objetivo) para agregar otro objetivo a esta regla.

15.    Seleccione Next (Siguiente).

         (Opcional) Indique una o más etiquetas para la regla. Para obtener más información, consulte Etiquetas de Amazon EventBridge.

16.    Seleccione Next (Siguiente).

17.    Revise los detalles de la regla y seleccione Create rule (Crear regla).


Información relacionada

¿Cómo puedo recibir notificaciones cuando se produzcan cambios en los registros de la zona alojada de Route 53?

¿Cómo puedo configurar una regla de EventBridge para que GuardDuty envíe notificaciones de SNS personalizadas si se desencadenan tipos específicos de eventos de servicios de AWS?

Mi regla coincide con las llamadas a la API del servicio global de AWS, pero no se ha ejecutado

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 9 meses