查找谁在联合 AWS 账户中创建了 s3 存储桶

Posted 2023-04-13

【中文标题】查找谁在联合 AWS 账户中创建了 s3 存储桶

【英文标题】：Find who created a s3 bucket in federated AWS account

【发布时间】：2020-01-31 11:41:36

【问题描述】：

我的整个团队通过联合登录访问单个 AWS 账户。除了我的团队，只有管理员（root 用户）有权访问此帐户。但 root 用户仅用于管理目的。

我们都通过基于 SAML 的 SSO 登录 AWS 控制台。 AWS 控制台的导航栏显示用户信息为：

联合登录： 团队名称/email.of.logged.in.user@organization.com

帐户： 1234-5678-1234

由于是单个帐户，因此帐户 ID 对所有联合身份用户都是通用的。但电子邮件是他们自己的。此外，点击导航栏中的“我的帐户”链接，帐户名称显示为

假定角色/TEAM-NAME/email.of.logged.in.user@organization.com

我的项目的一部分是确定某些 AWS 资源的创建者。现在，假设某个联合用户创建了一个存储桶。作为另一个联合用户，我可以跟踪谁（电子邮件）创建了这个存储桶吗？其他类型的资源（不仅仅是 s3 存储桶）呢？

【参考方案1】：

您可以使用 Amazon 云跟踪进行跟踪。但作为联合用户，您必须确保您拥有 Amazon Cloud Trail 访问权限。获得 Cloud Trail 访问权限后，您可以使用 Resource Name 过滤器过滤存储桶名称。

【讨论】：

非常感谢。但是90天的限制有点令人不安。有什么办法可以克服吗？

您可以交付到 s3 存储桶甚至是 cloudwatch 以获得更长的保留期。