J'ai configuré un groupe de sécurité pour mon instance Linux Amazon Elastic Compute Cloud (Amazon EC2). Je souhaite utiliser Amazon EventBridge et Amazon Simple Notification Service (Amazon SNS) pour surveiller les modifications apportées à mes groupes de sécurité.
Brève description
Pour surveiller les modifications apportées à vos groupes de sécurité, créez une règle EventBridge qui s'exécute lorsqu'une application effectue un appel d'API pour modifier vos groupes de sécurité. Puis, configurez une notification Amazon SNS pour les événements qui correspondent à votre règle.
Résolution
Prérequis : Créez un journal de suivi AWS CloudTrail pour enregistrer les appels d'API.
Créer une rubrique SNS et s'y abonner
Créez une rubrique SNS. Puis, abonnez-vous à la rubrique et sélectionnez E-mail dans le champ Protocole. Amazon SNS vous envoie un e-mail de confirmation pour l'abonnement.
Créer une règle EventBridge
Configurez une règle EventBridge, puis effectuez les étapes suivantes pour configurer un modèle de règle :
-
Sélectionnez Modèle prédéfini par un service.
-
Pour Fournisseur de services, choisissez AWS.
-
Pour Nom du service, sélectionnez EC2.
-
Pour Type d'événement, choisissez Appel d'API AWS via CloudTrail.
-
Choisissez Opération spécifique, puis entrez les appels d'API suivants un par un :
AuthorizeSecurityGroupIngressAuthorizeSecurityGroupEgress
RevokeSecurityGroupIngress
RevokeSecurityGroupEgress
Remarque : Choisissez Ajouter après avoir saisi chaque appel d'API. Ces appels d'API ajoutent ou suppriment des règles de groupe de sécurité.
Les paramètres précédents créent le modèle d'événement suivant :
{ "source": [
"aws.ec2"
],
"detail-type": [
"AWS API Call via CloudTrail"
],
"detail": {
"eventSource": [
"ec2.amazonaws.com"
],
"eventName": [
"AuthorizeSecurityGroupIngress",
"AuthorizeSecurityGroupEgress",
"RevokeSecurityGroupIngress",
"RevokeSecurityGroupEgress"
]
}
}
-
Sous Sélectionner des cibles, sélectionnez Rubrique SNS dans la liste de cibles.
-
Dans Rubrique, entrez la rubrique que vous avez créée.
-
(Facultatif) Par défaut, l'événement correspondant est sélectionné sous Configurer l'événement correspondant d’entrée. Cette configuration transmet l'intégralité de la sortie JSON de l'événement à la rubrique SNS. Pour filtrer les informations sur l'événement, sélectionnez Transformateur d'entrée. Utilisez le transformateur d'entrée pour personnaliser le texte d'un événement afin de créer un message lisible. Par exemple, utilisez les paires clé-valeur suivantes pour le chemin d'entrée :
{"name":"$.detail.requestParameters.groupId","source":"$.detail.eventName","time":"$.time","value":"$.detail"}
Dans Modèle d’entrée, entrez le texte et les variables que vous souhaitez voir apparaître dans le message.
Exemple de modèle d’entrée :
"A source API call was made against the security group name on time with the below details"" value "
-
Sélectionnez Créer.