Я довольно новичок в AWS, но я провел некоторое исследование по своей проблеме и нигде не смог найти ответа, так что, надеюсь, кто-нибудь сможет мне в этом помочь.
Я хотел бы получать уведомления о Slack всякий раз, когда кто-то входит в систему с учетной записью Root в любой из моих учетных записей AWS. Я настроил Cloudtrail на уровне организации для мониторинга журналов cloudtrail во всех моих аккаунтах AWS. Я настроил будильник Cloudwatch для срабатывания всякий раз, когда используется учетная запись root, затем сигнал тревоги отправляется в раздел SNS, который отправляет его на Лямбду, которая запускает сообщение для Slack.
Все это прекрасно работает. Однако сообщение, которое я получаю от SNS, в основном следующее: Тревога (root_login) была вызвана
В идеале я хотел бы получить событие Cloudwatch, которое показывает мне больше информации, такой как IP-адрес пользователя, учетная запись AWS, в которой это произошло, и т.д...
В принципе, я хотел бы получать журнал событий Cloudwatch в лямбду вместо триггера тревоги Cloudwatch. Разве это возможно?
Спасибо