はじめに
色々ありまして、急遽こちらを対応することになりました。
対応終わった後気が抜けたのか、41度オーバーの発熱をしてえらい目にありました。
概要
今回のシステムは、rootにてコンソールログインを行った際自動でメールが届くというものです。メールを確認するとアカウント番号と接続元のIPがわかるようになっています。
アーキテクチャ
手順
リソースはバージニアで作成すること
①SNSにて通知先のメールアドレスを登録する
②EventBrigeを以下設定で作成します。
・イベントパターン
{
"detail-type": ["AWS Console Sign In via CloudTrail"],
"detail": {
"eventType": ["AwsConsoleSignIn"],
"userIdentity": {
"type": ["Root"]
}
}
}
・先ほど作成したSNSをターゲットにする
・入力トランスフォーマーで以下を設定する
入力パス
{
"account": "$.detail.userIdentity.accountId",
"eventID": "$.detail.eventID",
"eventName": "$.detail.eventName",
"eventSource": "$.detail.eventSource",
"eventTime": "$.detail.eventTime",
"ipAddress": "$.detail.sourceIPAddress",
"region": "$.detail.awsRegion",
"userAgent": "$.detail.userAgent"
}
入力テンプレート
"[重要] ルート認証情報使用アラート"
"AWS アカウント: <account> でルート認証情報の使用が検出されました。"
"IPアドレス: <ipAddress>"
"早急に確認してください。"
入力テンプレートで改行したい場合 " を行の両サイドに付ける必要があります。
以上で設定は終わりです。
rootにてコンソールログインすると、SNSからメールが届きます
入力トランスフォーマーを利用しているので、見やすいかと思います。
まとめ
イベントパターンの設定が中々できずに苦戦しておりました。
最終的には今回記載したイベントパターンですと成功しました。
誰かの参考になれば、幸いです。