查找谁在联合 AWS 账户中创建了 s3 存储桶

Posted

技术标签:

【中文标题】查找谁在联合 AWS 账户中创建了 s3 存储桶【英文标题】:Find who created a s3 bucket in federated AWS account 【发布时间】:2020-01-31 11:41:36 【问题描述】:

我的整个团队通过联合登录访问单个 AWS 账户。除了我的团队,只有管理员(root 用户)有权访问此帐户。但 root 用户仅用于管理目的。

我们都通过基于 SAML 的 SSO 登录 AWS 控制台。 AWS 控制台的导航栏显示用户信息为:

联合登录: 团队名称/email.of.logged.in.user@organization.com

帐户: 1234-5678-1234

由于是单个帐户,因此帐户 ID 对所有联合身份用户都是通用的。但电子邮件是他们自己的。此外,点击导航栏中的“我的帐户”链接,帐户名称显示为

假定角色/TEAM-NAME/email.of.logged.in.user@organization.com

我的项目的一部分是确定某些 AWS 资源的创建者。现在,假设某个联合用户创建了一个存储桶。作为另一个联合用户,我可以跟踪谁(电子邮件)创建了这个存储桶吗?其他类型的资源(不仅仅是 s3 存储桶)呢?

【问题讨论】:

【参考方案1】:

您可以使用 Amazon 云跟踪进行跟踪。但作为联合用户,您必须确保您拥有 Amazon Cloud Trail 访问权限。获得 Cloud Trail 访问权限后,您可以使用 Resource Name 过滤器过滤存储桶名称。

【讨论】:

非常感谢。但是90天的限制有点令人不安。有什么办法可以克服吗? 您可以交付到 s3 存储桶甚至是 cloudwatch 以获得更长的保留期。

以上是关于查找谁在联合 AWS 账户中创建了 s3 存储桶的主要内容,如果未能解决你的问题,请参考以下文章

访问其他账户的 S3 IAM 策略

AWS S3:更改策略后无法列出存储桶

另一个账户中来自 Lambda 的 AWS 跨账户 S3 PutObject

具有 Route 53 域的 AWS S3 网站,需要通过 CloudFront 进行 https

AWS ECS Fargate 从跨账户 ECR 存储库中提取映像

如何将驻留在账户 A 中的 s3 存储桶的访问权限授予来自多个 aws 账户的不同 iam 用户?