选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户
创建IAM用户时发送通知 - AWS Prescriptive Guidance
摘要先决条件和限制架构工具操作说明相关资源附件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建IAM用户时发送通知

PDF

由 Mansi Suratwala (AWS) 和 Sergiy Shevchenko () 创作 AWS

摘要

在 Amazon Web Services (AWS) 上,您可以使用此模式部署AWS CloudFormation 模板,以便在创建 Ident AWS ity and Access Management (IAM) 用户时自动接收通知。 

使用IAM,您可以安全地管理对AWS服务和资源的访问。您可以创建和管理AWS用户和群组,并使用权限来允许和拒绝这些用户和群组访问AWS资源。

该 CloudFormation 模板创建了一个亚马逊 CloudWatch 事件和一个 AWS Lambda 函数。该事件AWS CloudTrail 用于监控AWS账户中正在创建的任何IAM用户。如果创建了用户,则 CloudWatch 事件会启动 Lambda 函数,该函数会向您发送亚马逊简单通知服务 (A SNS mazon) 通知,告知您发生了新用户创建事件。

先决条件和限制

先决条件

  • 一个活跃的AWS账户

  • 已创建并部署的AWS CloudTrail 跟踪

限制

  • 必须CreateUser仅为部署该AWS CloudFormation 模板。 

架构

目标技术堆栈

  • IAM

  • AWS CloudTrail

  • 亚马逊 CloudWatch 活动

  • AWS Lambda

  • Amazon Simple Storage Service(Amazon S3)

  • Amazon SNS

目标架构

从用户到另一个处理 CloudWatch 事件IAM CloudTrail 到 Lambda 和 S3 存储桶,最后以SNS电子邮件通知结尾。

自动化和扩缩

您可以为不同的AWS地区和账户多次使用该AWS CloudFormation 模板。您只需在每个区域或账户中运行一次。要自动部署到多个账户,请使用AWS CloudFormation StackSets。该 CloudFormation 模板将能够在每个账户中部署所有必需的资源。

工具

工具

  • IAM— AWS Identity and Access Management (IAM) 是一项网络服务,可帮助您安全地控制对AWS资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。

  • AWS CloudFormation— AWS CloudFormation 帮助您建模和设置 Amazon Web Services 资源,这样您就可以减少花在管理这些资源上的时间,将更多时间集中在运行的应用程序上AWS。您可以创建一个描述所需所有AWS资源的模板,并 CloudFormation 负责为您配置和配置这些资源。

  • AWS CloudTrail— AWS CloudTrail 帮助您管理AWS账户的治理、合规性以及运营和风险审计。用户、角色或AWS服务采取的操作将作为事件记录在中 CloudTrail。事件包括在AWS管理控制台、AWS命令行界面和AWSSDKs和中执行的操作APIs。

  • Amazon CloudWatch Events — Amazon CloudWatch Events 提供一系列描述AWS资源变化的系统事件。 near-real-time 

  • AWSLambda — Lam AWS bda 是一项计算服务,它支持在不预置或管理服务器的情况下运行代码。只有在需要时 Lambda 才运行您的代码,并且能自动扩缩,从每天几个请求扩展到每秒数千个请求。 

  • Amazon S3 – Amazon Simple Storage Service (Amazon S3) 是一项面向互联网的存储服务。您可以通过 Amazon S3 随时在 Web 上的任何位置存储和检索的任意大小的数据。

  • 亚马逊 SNS — 亚马逊简单通知服务 (AmazonSNS) 是一项托管服务,它使用 Lambda、、电子邮件HTTP、移动推送通知和移动短信 () SMS 提供消息传送。

代码

该项目的 .zip 文件作为附件提供。

操作说明

任务描述所需技能

定义 S3 存储桶。

打开 Amazon S3 控制台并选择或创建 S3 存储桶。此 S3 存储桶将托管 Lambda 代码 .zip 文件。S3 存储桶名称不得包含前导斜杠。

云架构师

为 Lambda 脚本创建 S3 存储桶

任务描述所需技能

定义 S3 存储桶。

打开 Amazon S3 控制台并选择或创建 S3 存储桶。此 S3 存储桶将托管 Lambda 代码 .zip 文件。S3 存储桶名称不得包含前导斜杠。

云架构师
任务描述所需技能

上传 Lambda 代码。

附件部分中提供的 Lambda 代码 .zip 文件上传到您定义的 S3 存储桶。

云架构师

将 Lambda 代码上传至 S3 存储桶

任务描述所需技能

上传 Lambda 代码。

附件部分中提供的 Lambda 代码 .zip 文件上传到您定义的 S3 存储桶。

云架构师
任务描述所需技能

部署 CloudFormation 模板。

在 CloudFormation 控制台上,部署作为该模式附件提供的 CloudFormation createIAMuser.yaml模板。在下一个操作说明中,提供模板参数的值。

云架构师

部署 CloudFormation 模板

任务描述所需技能

部署 CloudFormation 模板。

在 CloudFormation 控制台上,部署作为该模式附件提供的 CloudFormation createIAMuser.yaml模板。在下一个操作说明中,提供模板参数的值。

云架构师
任务描述所需技能

提供 S3 存储桶名称。

输入您在第一个操作说明中创建或选择的 S3 存储桶的名称。

云架构师

提供 S3 密钥。

提供 Lambda 代码 .zip 文件在 S3 存储桶中的位置,不带前导斜杠(例如,<directory>/<file-name>.zip)。

云架构师

提供电子邮箱地址。

提供有效的电子邮件地址以接收 Amazon SNS 通知。

云架构师

定义日志记录级别。

定义 Lambda 函数的日志记录级别和频率。Info 指明有关应用程序进度的详细信息消息。Error 指明仍允许应用程序继续运行的错误事件。Warning 指明潜在的有害情况。

云架构师

填写 CloudFormation 模板中的参数

任务描述所需技能

提供 S3 存储桶名称。

输入您在第一个操作说明中创建或选择的 S3 存储桶的名称。

云架构师

提供 S3 密钥。

提供 Lambda 代码 .zip 文件在 S3 存储桶中的位置,不带前导斜杠(例如,<directory>/<file-name>.zip)。

云架构师

提供电子邮箱地址。

提供有效的电子邮件地址以接收 Amazon SNS 通知。

云架构师

定义日志记录级别。

定义 Lambda 函数的日志记录级别和频率。Info 指明有关应用程序进度的详细信息消息。Error 指明仍允许应用程序继续运行的错误事件。Warning 指明潜在的有害情况。

云架构师
任务描述所需技能

确认订阅。

成功部署模板后,它将向提供的电子邮件地址发送订阅电子邮件。要接收通知,您必须确认此电子邮件订阅。

云架构师

确认订阅

任务描述所需技能

确认订阅。

成功部署模板后,它将向提供的电子邮件地址发送订阅电子邮件。要接收通知,您必须确认此电子邮件订阅。

云架构师

相关资源

附件

要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。