Soru Bir Amazon AWS anahtarının nerede kullanıldığını nasıl anlarım?


Kök hesap anahtarının S3 kovalarına yedekleme yapmak amacıyla yaygın olarak dağıtıldığı bir Amazon AWS ortamını miras aldım.

Anahtarın nerede kullanıldığını bulmalıyım, böylece sınırlı izinlere sahip bir anahtarla değiştirebilirim.

Nesnelerin ne zaman oluşturulduğunu bildirmek için bir SQS Q'ya mesaj göndermek için gruplara olay bildirimleri ayarlıyorum. Bu iletiler, nesne isteğinin kaynaklandığı sunucunun ip adresini içerir, ancak kullanımdaki IAM anahtarını (yalnızca kullanılan Amazon Hesabı'nın kimliği) içermez.

Cloudtrail, S3 istekleri Cloudtrail'e yazılmadığı için burada da kullanılamaz.

S3 istekleri yapılırken hangi anahtarın kullanıldığını anlatabileceğim başka bir yol var mı?


ÖNERİLEN BİR ÇÖZÜM OLMADIĞINI LÜTFEN UNUTMAYIN, NE YAPABİLİRİM ÜZERİNE BİR GÜNCELLEME. YUKARIDA ÖNGÖRÜLEN YÖNTEM KULLANIN. SORUNU GÜNCELLEME GEREKİR.

#

Teşekkürler EEAA

Bunu düşündüm, ama oyunda yüzlerce kova var, bu yüzden gerçekten pratik değildi. IAM'da anahtar kullanımını takip edebileceğim bir yer olduğunu umuyordum.

Etkinliklerin ve SQS'nin önceden ayarlanmış olduğu göz önüne alındığında, sonunda sonuçta yaptığım şey muhtemel kovalarda olayları ayarlamak ve S3 olay zaman damgasını IAM'nin en son kullanılan zaman damgası tarafından sağlanan zaman damgasına uydurmaktı.

Bu bana Root anahtarının kullanıldığı sırada S3'e istek gönderen sunucuların ip adreslerini verdi, bunlardan bir kaç sunucuda root anahtarını bulabildim. Umarım, önümüzdeki birkaç gün boyunca kök anahtarı kontrol ettiğimde, artık kullanımda olmayacağım.

Aksi halde, önerdiğiniz gibi büyük olasılıkla tek tek kovalara giriş yapmak zorunda kalacağım.


5
2017-08-26 10:22


Menşei




Cevaplar:


Cloudtrail'e ek olarak, S3 paketleriniz için günlüğe kaydetmeyi etkinleştirmeniz gerekir. Bunu yaptıktan sonra AWS, günlüğe kaydetmeye başlayacaktır. standart kullanıcı kimliği S3'e doğrulanmış istekleri yapmak için kullanılır.

Alıntı yapmak AWS S3 Dokümanlar günlüğe kaydetme alanları:

İsteklinin standart kullanıcı kimliği veya "Anonim" dizesi için   kimliği doğrulanmamış istekler. İstekte bulunan bir IAM kullanıcısıysa, bu alan   istemcinin IAM kullanıcı adını AWS kökü ile birlikte döndürür   IAM kullanıcısının ait olduğu hesabı. Bu tanımlayıcı aynıdır   erişim kontrolü amacıyla kullanılır.


6
2017-08-26 12:44



Teşekkürler. Aşağıya bakınız yanıtı. Bir yorum için çok uzun oldu. - Garreth McDaid