前置き
AWSではアクセスキーは定期的にローテーションすることが推奨されています。
今回はアクセスキーが作成されてからメールで通知する方法を備忘として記載します。
やり方①Amazon EventBridge+AWS Config+SNS
Amazon EventBridgeでイベントパターンパターンとして以下を定義
{
"source": ["aws.config"],
"detail-type": ["Config Rules Compliance Change"],
"detail": {
"configRuleName": ["access-keys-rotated"],
"newEvaluationResult": {
"complianceType": ["NON_COMPLIANT"]
}
}
}
ターゲットとしてSNSを選択。
この方法だとAWS Configのマネージドルール「access-keys-rotated」が非準拠になった際に以下のようなメールがくるが、すごく見づらい。
やり方② AWS User Nortificationsの通知機能を使う
イベントルールにAWS Configを選べる。
フィルター条件で細かくカスタマイズすることも可能。
(下記では「準拠」⇒「非準拠」をトリガーとして設定)
{
"detail": {
"configRuleName": [
"access-keys-rotated"
],
"newEvaluationResult": {
"complianceType": [
"NON_COMPLIANT"
]
},
"oldEvaluationResult": {
"complianceType": [
"COMPLIANT"
]
}
}
}