Je définis une notification SNS pour m'envoyer un courrier électronique à chaque modification apportée aux stratégies IAM. Lorsqu'une modification se produit, CloudTrail envoie un journal à CloudWatch qui déclenche une alarme associée à un sujet SNS. Plus de détails dans ce link.Envoi de notifications SNS en cas de modification IAM
Voici un exemple de ce que je reçois par mail:
Alarm Details:
- Name: PolicyAlarm
- Description: This alarm is to monitor IAM Changes
- State Change: INSUFFICIENT_DATA -> ALARM
- Reason for State Change: Threshold Crossed: 1 datapoint [1.0 (31/08/17 09:15:00)] was greater than or equal to the threshold (1.0).
- Timestamp: Thursday 31 August, 2017 09:20:39 UTC
- AWS Account: 00011100000
Threshold:
- The alarm is in the ALARM state when the metric is GreaterThanOrEqualToThreshold 1.0 for 300 seconds.
La seule information pertinente est le AWS Account ID
. Y a-t-il un moyen d'inclure également le changement? Qui l'a fait, quand et où? Ou peut-être envoyer peu d'informations à partir du journal cloudwatch comme le "eventName"
?
Évaluez AWS Config. Cela vous donnerait la configuration actuelle.Écrivez une logique pour déterminer le changement. En ce qui concerne qui a effectué la modification, vous devez consulter les journaux CloudTrail. –