S3 の変更を担当したユーザーを (バケットレベルで) 確認しようとしています。インスタンスを作成した S3 バケット レベルまたは EC2 で実行されたアクションの監査証跡が見つかりませんでした。Beanstalk には、マシンが実行したアクションのログがありますが、どのユーザーかはありません。
この情報を IAM やその他の場所で見ることができるように、AWS を回避する方法はありますか?
PS: アクセス ログを提供する S3 ログ バケットについては知りません。
8827 次
2 に答える
1
単一の CloudTrail の現在の価格は無料です。
1.CloudTrail を有効にする
CloudTrail ダッシュボードを使用して、すべてのイベントを S3 バケットに送信します。my-cloudtrail
2. 結果を確認する
CloudTrail ダッシュボードでは大まかな検索を行うことができますが、何千ものイベントがある場合、使用するのは面倒です。
user のアクションが必要だとしましょうfoo_user。CLI ツールを使用するだけです。
mkdir -p /tmp/cloudtrail
cd /tmp/cloudtrail
aws s3 sync s3://mc10-cloudtrail .
cd AWSLogs
zcat `find . -type f` | jq '.Records[] | "\(.eventName) \(.userIdentity.userName)"' | grep food_user | sort | uniq
出力例:
"CreateGrant foo_user"
"DescribeInstances foo_user"
"GetConsoleOutput foo_user"
"ModifyInstanceAttribute foo_user"
"StartInstances foo_user"
"StopInstances foo_user"
注: CloutTrail では S3 データ イベントの請求は異なりますが、S3 バケットでログを有効にしてそれらのログを grep するか、Logstash/Kibana をポイントするだけなので、これはやや冗長です。
于 2016-12-30T00:17:54.620 に答える