美好的一天,是否有任何脚本或任何 aws cli 命令可以知道哪个 IAM 用户在 AWS 中创建了什么资源。这样我们只需输入 IAM 用户名,它就会显示该特定 IAM 用户创建的所有资源。提前致谢。
问问题
97 次
1 回答
0
您正在寻找的服务是CloudTrail。
默认情况下,它会为当前帐户和区域保留 90 天的事件,您可以从控制台或CLI访问它。您还可以将其配置为将事件写入 S3,只要您想为存储付费,它们就会被保留(这也让您可以捕获所有区域以及组织中每个帐户的事件)。
CloudTrail 事件可能难以搜索。如果您只是在查找特定用户的事件,并且知道该用户的访问密钥(这里我使用存储在环境变量中的访问密钥),您可以使用如下查询:
aws cloudtrail lookup-events --lookup-attributes "AttributeKey=AccessKeyId,AttributeValue=$AWS_ACCESS_KEY_ID" --query 'Events[].[EventTime,EventName,Username,EventId]' --output table
或者,通过用户名:
aws cloudtrail lookup-events --lookup-attributes "AttributeKey=Username,AttributeValue=parsifal" --query 'Events[].[EventTime,EventName,Username,EventId]' --output table
然后,您可以使用它grep
来查找您感兴趣的事件,并通过以下方式深入了解特定事件的详细信息:
aws cloudtrail lookup-events --lookup-attributes "AttributeKey=EventId,AttributeValue=8c5a5d8a-9999-9999-9999-a8e4b5213c3d"
于 2021-02-26T16:40:08.640 回答