Действительно ли возможно контролировать консоль Amazon AWS?

Я еще не использовал эту службу, но похоже, что есть служба CloudTrail для регистрации активности API AWS:

С помощью CloudTrail вы можете получить историю вызовов API AWS для вашей учетной записи, включая вызовы API через Консоль управления AWS, SDK AWS, инструменты командной строки и высокоуровневые сервисы AWS (например, AWS CloudFormation). История вызовов API AWS, созданная CloudTrail, позволяет анализировать безопасность, отслеживать изменения ресурсов и проводить аудит соответствия.

В зависимости от вашего региона я согласен с forforf и рекомендую проверить CloudTrail. Вы также можете пересмотреть текущее состояние безопасности в AWS в целом.

Мы столкнулись с той же проблемой с более чем 20 администраторами в AWS. На кухне было слишком много поваров. Затем мы решили предоставить SU доступ двум нашим корпоративным архитекторам, а затем сегментированный доступ в IAM на основе роли администратора. Dev, Operations, Engineering, Security и т. Д. Таким образом, если было внесено изменение, мы могли хотя бы выяснить, кто внес это изменение, между 1-2 людьми, а не 20 ..

Также мы внедрили Chef, который помог с аудитами и т. д. Однако зависит от вашего окружения, потребностей и т. д.

Для вашей ситуации - если бы это был я ... Я собирал IP-адреса всех своих экземпляров и нажимал на Elastic Network Interfaces в консоли AWS. Найдите ENI по этим IP-адресам. Щелкните каждый ENI и измените поведение завершения при завершении на False. Затем войдите в IAM и запретите разрешения на подключение и отключение EIP нескольким администраторам.

Я бы также включил защиту завершения для каждого экземпляра. Если вы находитесь в среде VPC, любой связанный с EIP или внутренний IP-адрес не изменится при остановке или перезапуске экземпляра ... если экземпляр находится в классическом ec2, он изменится.