IAM アクセスキーが使われたタイミングを確認するために、アラートを設定する方法を教えてください。

解決策

IAM 認証情報の使用に関する通知を追跡して送信するための、事前定義済みルールはありません。ただし、AWS CloudTrail と Amazon EventBridge を組み合わせたカスタムルールを使用することはできます。この方法で、Amazon Simple Notification Service (Amazon SNS) トピックまたは Amazon Simple Queue Service (Amazon SQS) キューに通知を送信できます。

EventBridge ルールは JSON オブジェクトとして表記します。ルールには、イベントに適用されるシンプルな一致ロジックと不一致ロジックがあります。イベントの構造に応じて、一致させる特定の条件に合わせてカスタムパターンを構築できます。

次のルール例では、ルールが設定されているリージョンと同じ AWS リージョン内の単一のアクセスキーを追跡します。

重要:

• EventBridge が SNS トピックまたは SQS キューへの通知を呼び出すには、イベント送信用のアクティブな証跡が必要です。
• 証跡の管理イベントは、書き込み専用またはすべてに設定する必要があります。読み取り専用に設定されている証跡の管理イベントでは、EventBridge は呼び出されません。詳細については、「イベントの読み取りと書き込み」、「AWS サービスからのイベント」、「CloudTrail がサポートするサービスと統合」を参照してください。

1.EventBridge コンソールを開き、[ルール] を選択します。

2.[ルールの作成] を選択します。

3.ルールに [名前] を入力します。必要に応じて、[説明] を入力することができます。その後、[次へ] を選択します。

4.[イベントソース] で [その他] を選択します。

5.[作成方法] で [カスタムパターン (JSON エディタ)] を選択します。

6.[イベントパターン] に次のような JSON テンプレートを入力します。

注: このテンプレートを変更することで、アクセスキー、ログインタイプ、特定の ID など、さまざまな条件に関する通知を追跡できます。

{
    "detail-type": [
        "AWS API Call via CloudTrail"
    ],
    "detail": {
        "userIdentity": {
            "accessKeyId": [
                "AKIAIOSFODNN7EXAMPLE"
            ]
        }
    }
}

7.    [次へ] を選択します。

8.[ターゲットタイプ] で [AWS サービス] を選択します。次に、以下のフィールドに入力します。
[ターゲットを選択] で、[SNS トピック] または [SQS キュー] を選択します。
[トピック] でイベントに応答する対象のトピックを選択します。その後、[次へ] を選択します。

9.(オプション) 必要に応じて、ルールのタグを選択します。

10.[次へ] を選択し、ルールを確認します。次に、[ルールを作成] を選択します。

---

関連情報

Amazon EventBridge のイベントパターン

AWS アカウントの認証情報レポートを取得する