检测 AWS 角色的创建或更新，并触发 lambda

Question

我正在尝试找出一种在创建或更新时触发 Lambda 或在 AWS 中触发角色的方法。

用例是创建角色时，我们需要用新的或更改的角色更新我们的身份服务器。

我正在查看云轨迹，结果喜忧参半。我可以安排一个 lambda 到 运行，但我更愿意让它更实时。

有什么想法吗？

Answer 1

听起来像采用 CloudTrail 的方式正是 AWS 所建议的。

您遇到了什么问题？

AWS CloudTrail saves logs to an S3 bucket (object-created event).

Amazon S3 detects the object-created event.

Amazon S3 publishes the s3:ObjectCreated:* event to AWS Lambda by invoking the Lambda function, as specified in the bucket notification configuration. Because the Lambda function's access permissions policy includes permissions for Amazon S3 to invoke the function, Amazon S3 can invoke the function.

AWS Lambda executes the Lambda function by assuming the execution role that you specified at the time you created the Lambda function.

The Lambda function reads the Amazon S3 event it receives as a parameter, determines where the CloudTrail object is, reads the CloudTrail object, and then it processes the log records in the CloudTrail object.

Answer 2

您可以确保存在针对 IAM 策略更改和类似内容的日志指标过滤器和警报。

闹钟可以发消息到SNS等。

Lambda 可由该 SNS 消息触发。

对API调用的实时监控可以通过将CloudTrail Logs定向到CloudWatch Logs并建立相应的指标过滤器和警报来实现。建议建立指标过滤器和警报对身份和访问管理 (IAM) 策略所做的更改。