查找谁在联合 AWS 账户中创建了 s3 存储桶
Posted
技术标签:
【中文标题】查找谁在联合 AWS 账户中创建了 s3 存储桶【英文标题】:Find who created a s3 bucket in federated AWS account 【发布时间】:2020-01-31 11:41:36 【问题描述】:我的整个团队通过联合登录访问单个 AWS 账户。除了我的团队,只有管理员(root 用户)有权访问此帐户。但 root 用户仅用于管理目的。
我们都通过基于 SAML 的 SSO 登录 AWS 控制台。 AWS 控制台的导航栏显示用户信息为:
联合登录: 团队名称/email.of.logged.in.user@organization.com
帐户: 1234-5678-1234
由于是单个帐户,因此帐户 ID 对所有联合身份用户都是通用的。但电子邮件是他们自己的。此外,点击导航栏中的“我的帐户”链接,帐户名称显示为
假定角色/TEAM-NAME/email.of.logged.in.user@organization.com
我的项目的一部分是确定某些 AWS 资源的创建者。现在,假设某个联合用户创建了一个存储桶。作为另一个联合用户,我可以跟踪谁(电子邮件)创建了这个存储桶吗?其他类型的资源(不仅仅是 s3 存储桶)呢?
【问题讨论】:
【参考方案1】:您可以使用 Amazon 云跟踪进行跟踪。但作为联合用户,您必须确保您拥有 Amazon Cloud Trail 访问权限。获得 Cloud Trail 访问权限后,您可以使用 Resource Name 过滤器过滤存储桶名称。
【讨论】:
非常感谢。但是90天的限制有点令人不安。有什么办法可以克服吗? 您可以交付到 s3 存储桶甚至是 cloudwatch 以获得更长的保留期。以上是关于查找谁在联合 AWS 账户中创建了 s3 存储桶的主要内容,如果未能解决你的问题,请参考以下文章
另一个账户中来自 Lambda 的 AWS 跨账户 S3 PutObject
具有 Route 53 域的 AWS S3 网站,需要通过 CloudFront 进行 https