Как создать правило облачного наблюдения для создания новой группы безопасности?

Я хотел бы создать правило облачного наблюдения, которое отслеживает и предупреждает о создании новых групп безопасности. Я думал, что событие CreateSecurityGroup - это то, что я искал, но при создании новой группы безопасности никаких показателей не создается. Ниже приведен json для этого правила облачных часов:

{
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "ec2.amazonaws.com"
    ],
    "eventName": [
      "CreateSecurityGroup"
    ]
  }
}

Что мне нужно изменить, чтобы это работало?


amazon-ec2 amazon-cloudwatch aws-security-group amazon-cloudtrail
person Alex Cohen    schedule 07.08.2017    source источник
comment
Дополнительный комментарий: получение метрик из Amazon CloudTrail может занять 10+ минут.   -  person John Rotenstein    schedule 08.08.2017
comment
Прошёл день с тех пор, как я создал правило. Я создал несколько групп безопасности, чтобы проверить это, но пока не получил никаких показателей.   -  person Alex Cohen    schedule 08.08.2017

Ответы (1)


arrow_upward
2
arrow_downward

Меня устраивает!

Вот что я сделал:

  • Уже существует: тропа CloudTrail, проходящая в регионе
  • Перешел к Amazon CloudWatch Events в консоли управления.
  • Created a new rule:
    • Service: EC2
    • Тип события: вызов API через CloudTrail
    • Конкретная операция: CreateSecurityGroup
    • Цель: существующая очередь SQS с соответствующими разрешениями
  • Создана новая группа безопасности в консоли управления EC2.
  • Зашел в SQS, в очереди обнаружил сообщение, которое было отправлено примерно через минуту после создания группы безопасности.

Вот отрывок:

"eventName":"CreateSecurityGroup","awsRegion":"ap-southeast-2","sourceIPAddress":"54.222.111.1","userAgent":"signin.amazonaws.com","requestParameters":{"groupName":"stackSG3","groupDescription":"trail notify","vpcId":"vpc-12347014"}

Событие появилось в консоли CloudTrail примерно через 10 минут, но событие было активировано правилом CloudWatch Events в течение нескольких минут.

Шаблон события в правиле выглядит следующим образом:

{
  "source": [
    "aws.ec2"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "ec2.amazonaws.com"
    ],
    "eventName": [
      "CreateSecurityGroup"
    ]
  }
}
person John Rotenstein    schedule 09.08.2017
comment
хм, хорошо, я попробую. У меня были смешанные результаты с "source": ["aws.ec2"],. У меня есть аналогичное правило облачного наблюдения для создания нового экземпляра, которое работает только без этого. - person Alex Cohen; 09.08.2017
comment
Нет, это не сработало. Единственная разница в том, что я подключил его к SNS вместо SQS. Есть ли что-то, что мне нужно включить в Cloudtrail, чтобы начать мониторинг этого события? - person Alex Cohen; 09.08.2017
comment
Хорошо, поэтому он работает только тогда, когда группа безопасности создается через aws cli, и не отвечает, когда она создается через консоль. - person Alex Cohen; 09.08.2017