Monitoraggio AWS Identity and Access Management Access Analyzer con Amazon EventBridge - AWS Identity and Access Management
Eventi dei risultatiAccesso a eventi di anteprimaFrequenza delle notifiche di eventoEsempi di eventi relativi ai risultati degli accessi esterniEsempi di eventi relativi ai risultati degli accesso inutilizzatiEsempio di eventi di anteprima di accessoCreazione di una regola di evento mediante la console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio AWS Identity and Access Management Access Analyzer con Amazon EventBridge

Utilizza le informazioni contenute in questo argomento per scoprire come monitorare i risultati di IAM Access Analyzer e accedere alle anteprime con Amazon. EventBridge EventBridge è la nuova versione di Amazon CloudWatch Events.

Eventi dei risultati

IAMAccess Analyzer invia un evento EventBridge per ogni risultato generato, per modificare lo stato di un risultato esistente e quando un risultato viene eliminato. Per ricevere risultati e notifiche sui risultati, devi creare una regola di evento in Amazon EventBridge. Quando si crea una regola di evento, è anche possibile specificare un'operazione di destinazione da attivare in base alla regola. Ad esempio, è possibile creare una regola di evento che attiva un SNS argomento Amazon quando un evento relativo a una nuova scoperta viene ricevuto da IAM Access Analyzer. I dettagli sulla politica di controllo delle risorse (RCP) sono disponibili nella sezione dei dettagli dell'evento.

Accesso a eventi di anteprima

IAMAccess Analyzer invia un evento EventBridge a ogni anteprima di accesso e modifica del relativo stato. Ciò include un evento quando viene creata per la prima volta l'anteprima di accesso (stato Creazione), quando l'anteprima di accesso è completata (stato Completato) o quando la creazione dell'anteprima di accesso non è riuscita (stato Non riuscito). Per ricevere notifiche sulle anteprime di accesso, è necessario creare una regola di evento in. EventBridge Quando crei una regola di evento, puoi anche specificare un'operazione di destinazione da attivare in base alla regola. Ad esempio, puoi creare una regola di evento che attiva un SNS argomento Amazon quando un evento per un'anteprima di accesso completa viene ricevuto da IAM Access Analyzer.

Frequenza delle notifiche di evento

IAMAccess Analyzer invia gli eventi relativi a nuove scoperte e scoperte con aggiornamenti di stato EventBridge entro circa un'ora dal momento in cui si verifica l'evento nel tuo account. IAM Access Analyzer invia anche eventi EventBridge quando un risultato risolto viene eliminato perché il periodo di conservazione è scaduto. Per i risultati che vengono eliminati perché l'analizzatore che li ha generati viene eliminato, l'evento viene inviato a EventBridge circa 24 ore dall'eliminazione dell'analizzatore. Quando un risultato viene eliminato, lo stato del risultato non viene modificato. L'isDeletedattributo è invece impostato su. true IAM Access Analyzer invia anche eventi per le anteprime di accesso appena create e le modifiche allo stato di anteprima degli accessi a. EventBridge

Esempi di eventi relativi ai risultati degli accessi esterni

Di seguito è riportato un esempio di evento di ricerca degli IAM accessi esterni di Access Analyzer inviato a. EventBridge L'idelenco è l'ID dell'evento in EventBridge. Per ulteriori informazioni, consulta Eventi e modelli di eventi in EventBridge.

Nell'oggetto detail, i valori per gli attributi accountId e region si riferiscono all'account e alla regione riportati nel risultato. L'attributo isDeleted indica se l'evento è derivato dal risultato eliminato. L'id è l'ID risultato. L'resourcesarray è un singleton con l'ARNanalizzatore che ha generato il risultato.

{
    "account": "111122223333",
    "detail": {
        "accountId": "111122223333",
        "action": [
            "s3:GetObject"
        ],
        "analyzedAt": "2019-11-21T01:22:22Z",
        "condition": {},
        "createdAt": "2019-11-20T04:58:50Z",
        "id": "22222222-dcba-4444-dcba-333333333333",
        "isDeleted": false,
        "isPublic": false,
        "principal": {
            "AWS": "999988887777"
        },
        "region": "us-west-2",
        "resource": "arn:aws:s3:::amzn-s3-demo-bucket",
        "resourceType": "AWS::S3::Bucket",
        "status": "ACTIVE",
        "updatedAt": "2019-11-21T01:14:07Z",
        "version": "1.0"
    },
    "detail-type": "Access Analyzer Finding",
    "id": "11111111-2222-4444-aaaa-333333333333",
    "region": "us-west-2",
    "resources": [
        "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
    ],
    "source": "aws.access-analyzer",
    "time": "2019-11-21T01:22:33Z",
    "version": "0"
}

IAMAccess Analyzer invia inoltre gli eventi a per rilevare gli errori. EventBridge Un rilevamento degli errori è un risultato generato quando IAM Access Analyzer non è in grado di analizzare la risorsa. Gli eventi per i risultati di errore includono un attributo error come illustrato nell'esempio seguente.

{
    "account": "111122223333",
    "detail": {
        "accountId": "111122223333",
        "analyzedAt": "2019-11-21T01:22:22Z",
        "createdAt": "2019-11-20T04:58:50Z",
        "error": "ACCESS_DENIED",
        "id": "22222222-dcba-4444-dcba-333333333333",
        "isDeleted": false,
        "region": "us-west-2",
        "resource": "arn:aws:s3:::amzn-s3-demo-bucket",
        "resourceType": "AWS::S3::Bucket",
        "status": "ACTIVE",
        "updatedAt": "2019-11-21T01:14:07Z",
        "version": "1.0"
    },
    "detail-type": "Access Analyzer Finding",
    "id": "11111111-2222-4444-aaaa-333333333333",
    "region": "us-west-2",
    "resources": [
        "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
    ],
    "source": "aws.access-analyzer",
    "time": "2019-11-21T01:22:33Z",
    "version": "0"
}

Di seguito è riportato un esempio di evento di ricerca degli IAM accessi non utilizzati di Access Analyzer inviato a. EventBridge L'idelenco è l'ID dell'evento in. EventBridge Per ulteriori informazioni, consulta Eventi e modelli di eventi in EventBridge.

Nell'oggetto detail, i valori per gli attributi accountId e region si riferiscono all'account e alla regione riportati nel risultato. L'attributo isDeleted indica se l'evento è derivato dal risultato eliminato. L'id è l'ID risultato.

{
    "version": "0",
    "id": "dc7ce3ee-114b-3243-e249-7f10f9054b21",
    "detail-type": "Unused Access Finding for IAM entities",
    "source": "aws.access-analyzer",
    "account": "123456789012",
    "time": "2023-09-29T17:31:40Z",
    "region": "us-west-2",
    "resources": [
       "arn:aws:access-analyzer:us-west-2:123456789012:analyzer/integTestLongLivingAnalyzer-DO-NOT-DELETE"
       ],
    "detail": {
        "findingId": "b8ae0460-5d29-4922-b92a-ba956c986277",
        "resource": "arn:aws:iam::111122223333:role/FindingIntegTestFakeRole",
        "resourceType": "AWS::IAM::Role",
        "accountId": "111122223333",
        "createdAt": "2023-09-29T17:29:18.758Z",
        "updatedAt": "2023-09-29T17:29:18.758Z",
        "analyzedAt": "2023-09-29T17:29:18.758Z",
        "previousStatus": "",
        "status": "ACTIVE",
        "version": "62160bda-8e94-46d6-ac97-9670930d8ffb",
        "isDeleted": false,
        "findingType": "UnusedPermission",
        "numberOfUnusedServices": 0,
        "numberOfUnusedActions": 1
        }
    }

IAMAccess Analyzer invia inoltre gli eventi a EventBridge per rilevare gli errori. Un rilevamento degli errori è un risultato generato quando IAM Access Analyzer non è in grado di analizzare la risorsa. Gli eventi per i risultati di errore includono un attributo error come illustrato nell'esempio seguente.

{
    "version": "0",
    "id": "c2e7aa1a-4df7-7652-f33e-64113b8997d4",
    "detail-type": "Unused Access Finding for IAM entities",
    "source": "aws.access-analyzer",
    "account": "111122223333",
    "time": "2023-10-31T20:26:12Z",
    "region": "us-west-2",
    "resources": [
      "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ba811f91-de99-41a4-97c0-7481898b53f2"
      ],
    "detail": {
        "findingId": "b01a34f2-e118-46c9-aef8-0d8526b495c7",
        "resource": "arn:aws:iam::123456789012:role/TestRole",
        "resourceType": "AWS::IAM::Role",
        "accountId": "444455556666",
        "createdAt": "2023-10-31T20:26:08.647Z",
        "updatedAt": "2023-10-31T20:26:09.245Z",
        "analyzedAt": "2023-10-31T20:26:08.525Z",
        "previousStatus": "",
        "status": "ACTIVE",
        "version": "7c7a72a2-7963-4c59-ac71-f0be597010f7",
        "isDeleted": false,
        "findingType": "UnusedIAMRole",
        "error": "INTERNAL_ERROR"
        }
  }

Esempio di eventi di anteprima di accesso

L'esempio seguente mostra i dati per il primo evento a cui viene inviato EventBridge quando si crea un'anteprima di accesso. L'resourcesarray è un singleton con l'ARNanalizzatore a cui è associata l'anteprima di accesso. Nell'oggetto detail, id si riferisce all'ID di anteprima dell'accesso e configuredResources fa riferimento alla risorsa per la quale è stata creata l'anteprima di accesso. status è Creating e fa riferimento allo stato dell'anteprima dell'accesso. previousStatus non è specificato perché l'anteprima di accesso è stata appena creata. 

{
    "account": "111122223333",
    "detail": {
        "accessPreviewId": "aaaabbbb-cccc-dddd-eeee-ffffaaaabbbb",
        "configuredResources": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
        ],
        "createdAt": "2020-02-20T00:00:00.00Z",
        "region": "us-west-2",
        "status": "CREATING",
        "version": "1.0"
    },
    "detail-type": "Access Preview State Change",
    "id": "aaaabbbb-2222-3333-4444-555566667777",
    "region": "us-west-2",
    "resources": [
        "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
    ],
    "source": "aws.access-analyzer",
    "time": "2020-02-20T00:00:00.00Z",
    "version": "0"
}

L'esempio seguente mostra i dati di un evento inviato a EventBridge per un'anteprima di accesso con una modifica dello stato da a. Creating Completed Nell'oggetto dettaglio, id fa riferimento all'ID di anteprima dell'accesso. status e previousStatus fanno riferimento allo stato dell'anteprima dell'accesso, in cui lo stato precedente era Creating e lo stato corrente è Completed. 

{
    "account": "111122223333",
    "detail": {
        "accessPreviewId": "aaaabbbb-cccc-dddd-eeee-ffffaaaabbbb",
        "configuredResources": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
        ],
        "createdAt": "2020-02-20T00:00:00.000Z",
        "previousStatus": "CREATING",
        "region": "us-west-2",
        "status": "COMPLETED",
        "version": "1.0"
    },
    "detail-type": "Access Preview State Change",
    "id": "11112222-3333-4444-5555-666677778888",
    "region": "us-west-2",
    "resources": [
        "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
    ],
    "source": "aws.access-analyzer",
    "time": "2020-02-20T00:00:00.00Z",
    "version": "0"
}

L'esempio seguente mostra i dati di un evento inviato a EventBridge per un'anteprima di accesso con una modifica dello stato da Creating aFailed. Nell'oggetto detail, id fa riferimento all'ID di anteprima dell'accesso. status e previousStatus fanno riferimento allo stato dell'anteprima dell'accesso, in cui lo stato precedente era Creating e lo stato corrente è Failed. Il campo statusReason fornisce il codice motivo che indica che l'anteprima di accesso non è riuscita a causa di una configurazione di risorse non valida.

{
    "account": "111122223333",
    "detail": {
        "accessPreviewId": "aaaabbbb-cccc-dddd-eeee-ffffaaaabbbb",
        "configuredResources": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
        ],
        "createdAt": "2020-02-20T00:00:00.00Z",
        "previousStatus": "CREATING",
        "region": "us-west-2",
        "status": "FAILED",
        "statusReason": {
            "code": "INVALID_CONFIGURATION"
        },
        "version": "1.0"
    },
    "detail-type": "Access Preview State Change",
    "id": "99998888-7777-6666-5555-444433332222",
    "region": "us-west-2",
    "resources": [
        "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
    ],
    "source": "aws.access-analyzer",
    "time": "2020-02-20T00:00:00.00Z",
    "version": "0"
}

Creazione di una regola di evento mediante la console

La procedura seguente descrive come creare una regola di evento utilizzando la console.

  1. Apri la EventBridge console Amazon all'indirizzo https://console.aws.amazon.com/events/.

  2. Utilizzando i seguenti valori, crea una EventBridge regola che monitori la ricerca di eventi o acceda agli eventi di anteprima:

    • Per Rule type (Tipo di regola), scegli Rule with an event pattern (Regola con un modello di eventi).

    • In Event source (Origine eventi), scegli Other (Altro).

    • Per Schema di eventi, scegliete Modelli personalizzati (JSONeditor) e incollate uno dei seguenti esempi di pattern di eventi nell'area di testo:

      • Per creare una regola basata su qualsiasi evento di IAM Access Analyzer, utilizza il seguente esempio di pattern:

        {
  "source": [
    "aws.access-analyzer"
  ]
}

      • Per creare una regola basata su un evento relativo ai risultati degli accessi esterni o inutilizzati, utilizza il seguente esempio di modello:

        {
  "source": [
    "aws.access-analyzer"
  ],
  "detail-type": [
    "Access Analyzer Finding",
    "Unused Access Finding for IAM entities"
  ]
}

      • Per creare una regola basata su un evento relativo ai risultati degli accessi esterni, utilizza il seguente esempio di modello:

        {
  "source": [
    "aws.access-analyzer"
  ],
  "detail-type": [
    "Access Analyzer Finding"
  ]
}

      • Per creare una regola basata solo su un evento relativo ai risultati degli accessi inutilizzati, utilizza il seguente esempio di modello:

        {
  "source": [
    "aws.access-analyzer"
  ],
  "detail-type": [
    "Unused Access Finding for IAM entities"
  ]
}

      • Per creare una regola basata su un evento di anteprima di accesso, utilizza il seguente esempio di modello:

        {
  "source": [
    "aws.access-analyzer"
  ],
  "detail-type": [
    "Access Preview State Change"
  ]
}

    • Per i tipi di Target, scegli il AWS servizio e per Seleziona un target, scegli un obiettivo come un SNS argomento o una AWS Lambda funzione di Amazon. La destinazione viene attivata quando viene ricevuto un evento che corrisponde al modello di evento definito nella regola.

    Per ulteriori informazioni sulla creazione di regole, consulta la sezione Creazione di EventBridge regole Amazon che reagiscono agli eventi nella Amazon EventBridge User Guide.

Creazione di una regola di evento utilizzando il CLI

  1. Utilizza quanto segue per creare una regola per Amazon EventBridge utilizzando il AWS CLI. Sostituisci il nome della regola TestRule con il nome della regola.

    aws events put-rule --name TestRule --event-pattern "{\"source\":[\"aws.access-analyzer\"]}"

  2. È possibile personalizzare la regola per attivare operazioni di destinazione solo per un sottoinsieme di risultati generati, ad esempio risultati con attributi specifici. Nell'esempio seguente viene illustrato come creare una regola che attiva un'operazione di destinazione solo per i risultati con stato Attivo.

    aws events put-rule --name TestRule --event-pattern "{\"source\":[\"aws.access-analyzer\"],\"detail-type\":[\"Access Analyzer Finding\"],\"detail\":{\"status\":[\"ACTIVE\"]}}"

    Nell'esempio seguente viene illustrato come creare una regola che attiva un'operazione di destinazione solo per le anteprime di accesso con stato da Creating a Completed.

    aws events put-rule --name TestRule --event-pattern "{\"source\":[\"aws.access-analyzer\"],\"detail-type\":[\"Access Preview State Change\"],\"detail\":{\"status\":[\"COMPLETED\"]}}"

  3. Per definire una funzione Lambda come destinazione per la regola creata, utilizza il seguente comando di esempio. Sostituisci la regione e il nome della funzione ARN in base all'ambiente in uso.

    aws events put-targets --rule TestRule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:MyFunction

  4. Aggiungere le autorizzazioni necessarie per richiamare la destinazione della regola. Nell'esempio seguente viene illustrato come concedere autorizzazioni a una funzione Lambda seguendo gli esempi precedenti.

    aws lambda add-permission --function-name MyFunction --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com