¿Cómo superviso los cambios en los grupos de seguridad configurados en mi instancia EC2 de Linux mediante EventBridge y Amazon SNS?

Descripción breve

Cree una regla de EventsBridge para que se active cuando se realice una llamada a la API para modificar sus grupos de seguridad. A continuación, configure una notificación de Amazon SNS para los eventos que coincidan con su regla.

Resolución

Crear un tema de Amazon SNS y suscribirse a él

1.    Abra la consola de Amazon SNS.

2.    En el panel de SNS, seleccione Temas y, a continuación, elija Crear tema.

3.    Introduzca un nombre para el tema (por ejemplo, my-topic).

4.    Elija Crear tema.

5.    Anote el nombre de recurso de Amazon (ARN) del tema (por ejemplo, arn:aws:sns:us-east-1:123123123123:my-topic).

6.    Seleccione Crear suscripción.

7.    Para el ARN del tema, introduzca el ARN del que tomó nota en el paso 5.

8.    En Protocolo, elija Correo electrónico.

9.    Para Endpoint, introduzca una dirección de correo electrónico para recibir las notificaciones y, a continuación, seleccione Crear suscripción.

Recibirá un correo electrónico confirmando la suscripción. Tras confirmar la suscripción, la dirección de correo electrónico recibirá notificaciones cuando se active el tema de SNS.

Cree una regla de EventBridge que se active en un evento mediante la consola de EventBridge

1.    Abra la consola de EventBridge.

2.    Seleccione Crear regla.

3.    Introduzca un nombre para la regla. Si lo desea, puede introducir una descripción.

4.    En Definir patrón, seleccione Patrón de eventos.

5.    Seleccione un patrón predefinido por servicio.

6.    Como proveedor de servicios, elija AWS.

7.    En Nombre del servicio, elija EC2.

8.    Para el Tipo de evento, elija Llamada a la API de AWS a través de CloudTrail.

9.    Elija Operación específica y, a continuación, copie y pegue las siguientes llamadas a la API en el cuadro de texto, una por una. Seleccione Añadir después de cada adición. Estas llamadas a la API se utilizan para añadir o eliminar reglas de grupos de seguridad.

AuthorizeSecurityGroupIngress
AuthorizeSecurityGroupEgress
RevokeSecurityGroupIngress
RevokeSecurityGroupEgress

Esta configuración crea el siguiente patrón de eventos:

{
  "source": [
    "aws.ec2"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "ec2.amazonaws.com"
    ],
    "eventName": [
      "AuthorizeSecurityGroupIngress",
      "AuthorizeSecurityGroupEgress",
      "RevokeSecurityGroupIngress",
      "RevokeSecurityGroupEgress"
    ]
  }
}

10.    En Seleccionar destinos, elija el tema de SNS en la lista desplegable Destino.

11.    En Tema, introduzca el tema que creó anteriormente.

Nota: De forma predeterminada, el evento coincidente se selecciona en Configurar entrada. El evento coincidente pasa toda la salida JSON del evento al tema de SNS. Si no quiere pasar toda la salida JSON, seleccione Transformador de entrada para filtrar la información del evento. Use el transformador de entrada para personalizar el texto de un evento y crear un mensaje fácil de leer, en lugar de enviar toda la salida JSON a su destino. Por ejemplo, puede utilizar los siguientes pares clave-valor para la ruta de entrada.

{"name":"$.detail.requestParameters.groupId","source":"$.detail.eventName","time":"$.time","value":"$.detail"}

En Plantilla de entrada, introduzca el texto y las variables que desea que aparezcan en el mensaje:

"A <source> API call was made against the security group <name> on <time> with the below details"
" <value> "

Para obtener más información sobre el uso de la opción de transformador de entrada, consulte el Tutorial: Utilizar el transformador de entrada para personalizar lo que EventBridge pasa al destino del evento.

12.    Seleccione Crear.

---

Información relacionada

Tutorial: Cree una regla de Amazon EventBridge para las llamadas a la API de AWS CloudTrail