我想创建一个工具来监控 AWS 是否有未使用的实例,然后向启动该实例的用户发送一封电子邮件,要求他们在不使用它时将其关闭。
假设我有一个数据库,其中包含访问密钥 ID 和我们公司启动 EC2 实例的用户的电子邮件地址之间的映射,我如何找到正在运行的 EC2 实例的访问密钥 ID?
是否有任何现有的软件或服务已经这样做了?
【问题讨论】:
您不能这样做 - 用户和正在运行的实例之间并不总是存在关系。
考虑一下自动扩缩:实例可以在线响应事件,运行几个小时,然后消失。无需人工干预。
您可以通过打开 CloudTrail 来提取有关创建它的用户的一些信息,但它无法识别使用了哪个密钥。请记住,用户可以拥有多个密钥。
如果您真的想确保可以跟踪谁在启动实例,请制定一个政策,要求带有电子邮件地址的特定标签(例如“所有者”),并终止任何没有该标签的实例放。 (您应该可以使用 AWS Config 规则执行此操作)
【讨论】:
所有实例都有一个与之关联的 IAM 用户。您可以从 CloudTrail 获取此信息,但它会显示过去 2 周的轨迹,因此您需要定期收集数据并存储它。
我的做法是:我使用 CloudTrail + Lambda 的组合,并在实例启动时标记实例。标签可以是姓名或电子邮件。当我看到未使用的实例时,我会查询标签并发送标签标识的电子邮件。它完美无缺。我把它作为一个问题发布:Mandatory tagging when launching EC2 instance
检查我发布的已接受答案。学习 AWS Lambda 很有趣。 Lambda 使用量低于免费套餐限制,我无需为使用 AWS Lambda 支付任何费用。
【讨论】: