エンタメ系企業の社内もろもろを担当しているakibinです。
最近はハマっているSummer FeelingsのPVがシティ・ポップぽくていい感じ。あー遊びに行きたいよ早くワクチン打たせてくれ!(年代バレる)
やりたいこと
IAM関連の操作がされた場合にメール通知してほしいと思いました。
IAM関連の作業はセキュリティインシデントに直結しますが、複数人で管理者やってる場合や、SDKの作業でどうしても開発者がIAMロールいじらないといけない場合など、念の為どんな作業してるか把握するためです。
これを実現するのにCloudTrailの証跡を作成する必要があり、証跡はS3に保存されるので、S3への保存費用が発生します。
作業の流れ
- CloudTrailに証跡を作成
- それ用のCloudWatchLogsも同時に作成
- CloudWatchLogsでメトリクスフィルターを設定
- 作成したメトリクスフィルターにアラートを設定
前提条件
Amazon SNSでメール通知用の設定がされている前提です。設定したことが無い方は以下の記事がわかりやすいので参照して作成してください。
[基本操作]Amazon SNSでメールを送信する
CloudTrailに証跡を作成(それ用のCloudWatchLogsも同時に作成)
- CloudTrail > [証跡] > [証跡の作成]をクリック
- [全般的な詳細]を入力
- 証跡名:任意の名前
- ストレージの場所:今回は新しいS3を作成
- ログファイルのSSE-KMS暗号化:今回はなし(必要であれば暗号化実施してください)
- ログファイルの検証:有効
- SNS通知の配信:なし(SNSとの紐付けはCloudWatchLogsで実施します)
- CloudWatch Logsにチェック
- ロググループ、IAMロールはどちらも新規に作成、任意の名前を入れる
- ロググループ、IAMロールはどちらも新規に作成、任意の名前を入れる
- 次に進んで、[ログイベントを選択]
- IAM関連の操作のみが対象なので、今回は管理イベントのみでOKです。
- 管理イベントのAPIアクティビティはデフォルトの[読み取り]と[書き込み]でOK
- 次に進んで、[確認と作成]で内容を確認して[証跡を作成]
CloudWatckLogsでメトリクスフィルターを設定
- 先程CloudTrailで作成したロググループを開き、[メトリクスフィルター]から[メトリクスフィルターを作成]をクリック
- [パターン定義]のフィルターパターンに
{ $.eventSource = "iam.amazonaws.com" }を入力して[Next]
- [メトリクスの割り当て]で各項目を入力して[Next]
- フィルター名(任意の名前):
IAM_Changes - メトリクス名前空間(任意の名前):
CloudTrailMetrics - メトリクス値:
1 - デフォルト値:
0
- フィルター名(任意の名前):
- 設定内容を確認して[メトリクスフィルターを作成]
作成したメトリクスフィルターにアラートを設定
- 作成したメトリクスフィルターにチェックを入れ、[アラームを作成]
-
デフォルト以外は以下を設定して[次へ]
- 統計:
最大 - しきい値:
0 - 欠落データの処理:
欠落データを適性として処理
- 統計:
[アクションの設定]で事前に作成したSNSを選択して[次へ]
任意の[アラーム名]を入力して[次へ]
プレビューを確認、問題なければ[アラームの作成]
動作確認
試しにIAMユーザを作成。
きっちりアラームがメールで飛んできました!
おまけ?
ちなみに、CloudCloudWatchEventsでもCloudTrailと連携してEC2関連のイベントとかの通知が可能なようですが、サービス名にIAMを選択できなかったので、IAM関連はいけないっぽい?なので、今回はCloudWatchLogsと連携で設定しました。もしEventsでも可能という方、教えてください!
