建立 IAM 使用者時傳送通知 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 使用者時傳送通知

由曼西蘇拉特瓦拉 (AWS) 創作

環境:生產

技術:基礎架構;安全、身份、合規

工作負載:所有其他工作負載

AWS 服務:Amazon SNS; AWS Identity and Access Management; AWS Lambda; Amazon CloudWatch

Summary

此模式會提供 Amazon Web Services (AWS) CloudFormation 範本,讓您部署這些範本,以便在建立 AWS Identity and Access Management (IAM) 使用者時自動接收通知。 

您可以透過 IAM 安全管理 AWS 服務和資源的存取。您可以建立和管理 AWS 使用者和群組,並使用各種許可來允許和拒絕這些使用者和群組存取 AWS 資源。

CloudFormation 範本會建立 Amazon CloudWatch Events 事件和 AWS Lambda 函式。此事件使用 AWS CloudTrail 來監控 AWS 帳戶中建立的任何 IAM 使用者。如果建立了使用者,CloudWatch 事件事件會啟動 Lambda 函數,該函數會傳送 Amazon Simple Notification Service (Amazon SNS) 通知給您新的使用者建立事件。

先決條件和限制

先決條件

  • 作用中的 AWS 帳戶

限制

  • CloudFormation 模板必須部署CreateUser僅 。 

Architecture

目標技術堆疊

  • IAM

  • AWS CloudTrail

  • Amazon CloudWatch Events

  • AWS Lambda

  • Amazon Simple Storage Service (Amazon S3)

  • Amazon SNS

目標架構

自動化與擴充

您可以針對不同的 AWS 區域和帳戶多次使用 CloudFormation 範本。您只需要在每個地區或帳戶中執行一次。

Tools

工具

  • IAM— AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 AWS 資源的存取。您可以使用 IAM 來控制 (已登入) 的身分驗證和授權使用資源的 (許可)。

  • AWS CloudFormation— AWS CloudFormation 能幫助您模型化與設定 Amazon Web Services 資源,讓您花較少的時間管理這些資源,並且有更多時間專注在執行於 AWS 的應用程式上。您能建立一個範本,以說明要使用的所有 AWS 資源,CloudFormation 會負責佈建與設定這些資源。

  • AWS CloudTrail— AWS CloudTrail 可協助您管理 AWS 帳戶的監管、合規、操作和風險稽核。由使用者、角色或 AWS 服務所採取的動作會記錄為 CloudTrail 中的事件。事件包含在 AWS 管理主控台、AWS 命令列界面以及 AWS 開發套件和 API 中採取的動作。

  • Amazon CloudWatch Events— Amazon CloudWatch Events 會提供近乎即時的系統事件串流,說明 AWS 資源的變動情形。 

  • AWS Lambda— AWS Lambda 是一項運算服務,可支援執行程式碼,無需佈建或管理伺服器。Lambda 只有在需要時才會執行程式碼,可自動從每天數項請求擴展成每秒數千項請求。 

  • Amazon S3— Amazon Simple Storage Service (Amazon S3) 是網際網路儲存服務。您可以使用 Amazon S3 隨時從 Web 任何地方存放和擷取任意資料量。

  • Amazon SNS— Amazon Simple Notification Service (Amazon SNS) 是一種受管服務,可使用 Lambda、HTTP、電子郵件、行動推播通知和行動文字訊息 (SMS) 提供訊息傳遞。

Code

專案的 .zip 檔案可作為附件使用。

Epics

任務描述所需技能
定義 S3 儲存貯體。

開啟 Amazon S3 主控台,然後選擇或建立 S3 儲存貯體。此 S3 儲存貯體會裝載 Lambda 程式碼 .zip 檔案。您的 S3 儲存貯體必須與正在評估的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體位於相同的區域。S3 儲存貯體名稱不能包含前導斜線。

雲端架構師
任務描述所需技能
上傳 Lambda 程式碼。

上傳提供的 Lambda 程式碼 .zip 檔案附件區段新增至您定義的 S3 儲存貯體。

雲端架構師
任務描述所需技能
部署 CloudFormation 範本。

在 CloudFormation 主控台上,部署 CloudFormationNew_Create_IAM_User.yml模板作為附件提供給此模式。在下一個史詩中,提供範本參數的值。

雲端架構師
任務描述所需技能
提供 S3 儲存貯體名稱。

輸入您在第一個史詩級中建立或選擇的 S3 儲存貯體名稱。

雲端架構師
提供 S3 金鑰。

在 S3 儲存貯體中提供 Lambda 程式碼 .zip 檔案的位置,不含前導斜線 (例如 <directory>/<file-name> .zip)。

雲端架構師
提供電子郵件地址。

提供有效的電子郵件地址以接收 Amazon SNS 通知。

雲端架構師
定義記錄層級。

定義 Lambda 函數的記錄層級和頻率。Info會指定有關應用程式進度的詳細資訊訊息。Error會指定仍可允許應用程式繼續執行的錯誤事件。Warning指定潛在有害的情況。

雲端架構師
任務描述所需技能
確認訂閱。

成功部署範本後,會將訂閱電子郵件訊息傳送至提供的電子郵件地址。若要接收通知,您必須確認此電子郵件訂閱。

雲端架構師

Attachments

attachment.zip