Cómo reportar de manera automática cuando se abusa de la cuenta root en Amazon Web Services (AWS)
Las áreas de Seguridad Informática o Cumplimiento, en ocasiones requiere ser reportadas de manera automática, cuando la cuenta Root de AWS sea usada o en efecto cuando están tratando de hacer login con password incorrecto en la Consola.
Para resolverlo existen 2 maneras de realizarlo; tal como sucede en muchos casos cuando se involucran varios servicios de AWS. Escogeremos la más eficiente y fácil de implementar.
Opción 1
La solución del caso de uso involucra 4 Servicios como son Cloud Trail -CloudWatch-SNS-S3
Opción 2
Desventaja Opción 1: El flujo del tráfico tiene mayor interdependencia de varios servicios de AWS que se deben configurar, y adicionalmente esto hace que la alarma necesite en CloudWatch un Datapoint de monitoreo de 5 minutos y envíe la notificación a SNS.
Por lo anterior, mostraremos la implementación de la opción 1 que nos llevará a los siguientes 4 pasos del gráfico.