查找谁在联合 AWS 账户中创建了 s3 存储桶
Find who created a s3 bucket in federated AWS account
我的整个团队通过联合登录访问一个 AWS 账户。除了我的团队,只有管理员(root 用户)可以访问此帐户。但 root 用户仅用于管理目的。
我们都通过基于 SAML 的 SSO 登录 AWS 控制台。 AWS 控制台的导航栏将用户信息显示为:
联合登录:
TEAM-NAME/email.of.logged.in.user@organization.com
帐号:
1234-5678-1234
由于是单个帐户,帐户 ID 对所有联合用户都是通用的。但是电子邮件是他们自己的。此外,在导航栏中单击 "My Account" link 时,帐户名称显示为
担任角色/TEAM-NAME/email.of.logged.in.user@organization.com
我项目的一部分是识别某些 AWS 资源的创建者。现在,假设某个联合用户创建了一个存储桶。作为另一个联合用户,我可以跟踪谁(电子邮件)创建了这个存储桶吗?其他类型的资源(不仅仅是 s3 存储桶)怎么样?
您可以使用 Amazon 云跟踪进行跟踪。但作为联合用户,您必须确保您拥有 Amazon Cloud Trail 访问权限。获得 Cloud Trail 访问权限后,您可以使用 Resource Name 过滤器过滤存储桶名称。
我的整个团队通过联合登录访问一个 AWS 账户。除了我的团队,只有管理员(root 用户)可以访问此帐户。但 root 用户仅用于管理目的。
我们都通过基于 SAML 的 SSO 登录 AWS 控制台。 AWS 控制台的导航栏将用户信息显示为:
联合登录: TEAM-NAME/email.of.logged.in.user@organization.com
帐号: 1234-5678-1234
由于是单个帐户,帐户 ID 对所有联合用户都是通用的。但是电子邮件是他们自己的。此外,在导航栏中单击 "My Account" link 时,帐户名称显示为
担任角色/TEAM-NAME/email.of.logged.in.user@organization.com
我项目的一部分是识别某些 AWS 资源的创建者。现在,假设某个联合用户创建了一个存储桶。作为另一个联合用户,我可以跟踪谁(电子邮件)创建了这个存储桶吗?其他类型的资源(不仅仅是 s3 存储桶)怎么样?
您可以使用 Amazon 云跟踪进行跟踪。但作为联合用户,您必须确保您拥有 Amazon Cloud Trail 访问权限。获得 Cloud Trail 访问权限后,您可以使用 Resource Name 过滤器过滤存储桶名称。