IAM アクセスキーが使用されたタイミングを知るための、アラートの設定方法を教えてください。

解決方法

IAM 認証情報の使用に関する通知を追跡および送信するために事前定義されたルールはありません。ただし、AWS CloudTrail と Amazon EventBridge を組み合わせたカスタムルールを使用することはできます。これにより、Amazon Simple Notification Service (Amazon SNS) トピックまたは Amazon Simple Queue Service (Amazon SQS) キューに通知を送信できます。

EventBridge ルールは JSON オブジェクトとして表されます。ルールには、イベントに適用される単純一致または一致なしのロジックがあります。各イベントの構造に基づき、判断したい特定の条件をカスタムパターンとして定義できます。

次のルール例では、ルールが設定されている同じ AWS リージョン内の 1 つのアクセスキーを追跡します。

重要:

• EventBridge が SNS トピックまたは SQS キューへの通知を呼び出すには、イベントを送信するためのアクティブなトレイルが必要です。
• また、追跡管理イベントは、Write-only (書き込み専用) もしくは All (すべて) に設定する必要があります。読み取り専用に設定されたトレイル管理イベントは、EventBridge ルールを呼び出しません。詳細については、「読み込みイベントと書き込みイベント」「AWS のサービスからのイベント」、および「CloudTrail でサポートされるサービスと統合」を参照してください。

1.    EventBridge コンソールを開き、[Rules] (ルール) を選択します。

2.    [ルールの作成] をクリックします。

3.    ルールの [Name] (名前) を入力します。必要に応じて [Description] (説明) を入力できます。その後、[Next] (次へ) を選択します。

4.    [イベントソース] で [その他] を選択します。

5.    [作成方法] で [カスタムパターン (JSON エディター)] を選択します。

6.    イベントパターンには、次のような JSON テンプレートを入力します。

注: このテンプレートは、アクセスキー、ログインタイプ、特定の ID など、さまざまな基準の通知を追跡するように変更できます。

{
    "detail-type": [
        "AWS API Call via CloudTrail"
    ],
    "detail": {
        "userIdentity": {
            "accessKeyId": [
                "AKIAIOSFODNN7EXAMPLE"
            ]
        }
    }
}

7.    [次へ] を選択します。

8.    [ターゲットタイプ] には、[AWS のサービス] を選択します。次に、以下のフィールドに入力します:
[ターゲットの選択] で、[SNS トピック] または [SQS キュー] を選択します。
[トピック] で、イベントに返信するトピックを選択します。その後、[次へ] を選択します。

9.    (オプション) 必要に応じて、ルールのタグを選択します。

10.    [次へ] を選択してルールを確認します。次に、[ルールを作成] を選択します。

---

関連情報

Amazon EventBridge のイベントパターン

AWS アカウントの認証情報レポートの取得