我正在尝试查看哪个用户负责 S3 中的更改(在存储桶级别)。 对于在 S3 存储桶级别或创建实例的 EC2 执行的操作,我找不到审计跟踪。 Beanstalk 有机器执行的操作的日志,但不包含哪个用户。
有没有办法绕过 AWS,我们可以在 IAM 或任何其他位置查看此信息?
P.S:我对提供访问日志的 S3 日志存储桶不感兴趣
【问题讨论】:
标签: amazon-web-services amazon-s3 amazon-ec2 amazon-cloudfront amazon-iam
AWS 刚刚宣布 AWS CloudTrail,终于从今天开始提供审计 API 调用(并且免费),有关详细信息,请参阅介绍性帖子 AWS CloudTrail - Capture AWS API Activity:
您是否需要跟踪一个或多个 AWS 的 API 调用 帐户?如果是这样,那么新的 AWS CloudTrail 服务就适合您。
启用后,AWS CloudTrail 会记录对 AWS API 的调用 使用AWS Management Console、AWS Command Line Interface (CLI)、您自己的应用程序和第三方软件并发布 生成的日志文件到您选择的Amazon S3 存储桶。 CloudTrail 还可以向 Amazon SNS 主题发出通知 每次发布文件时您的选择。每个呼叫都记录在 JSON 中 便于解析和处理的格式。
请注意以下(临时)限制:
这是一个长期存在的功能请求,但不幸的是,截至今天,AWS 不提供(公共)审计跟踪 - 添加此功能的最合理方法可能是对 AWS Identity and Access Management (IAM) 的相应扩展,这是越来越普遍的身份验证和授权层,用于访问所有现有(几乎可以肯定是未来)Products & Services 的 AWS 资源。
因此,IAM FAQs 中提供了一些相应的答案:
【讨论】:
单个 CloudTrail 的当前定价是免费的。
1.启用 CloudTrail
使用 CloudTrail 仪表板并将所有事件发送到 S3 存储桶,例如my-cloudtrail
2。查看结果
CloudTrail 仪表板可让您进行一些粗略的搜索,但如果您有数千个事件,使用起来会很痛苦。
假设我想要用户 foo_user 的操作,我只使用 CLI 工具:
mkdir -p /tmp/cloudtrail
cd /tmp/cloudtrail
aws s3 sync s3://mc10-cloudtrail .
cd AWSLogs
zcat `find . -type f` | jq '.Records[] | "\(.eventName) \(.userIdentity.userName)"' | grep food_user | sort | uniq
示例输出:
"CreateGrant foo_user"
"DescribeInstances foo_user"
"GetConsoleOutput foo_user"
"ModifyInstanceAttribute foo_user"
"StartInstances foo_user"
"StopInstances foo_user"
注意:S3 数据事件在 CloutTrail 中的计费方式不同,但这有点多余,因为您可以在 S3 存储桶上启用日志记录并 grep 这些日志,或将它们指向 Logstash/Kibana。
【讨论】: