Я наследовал среду AWS Amazon, в которой Корневой ключ учетной записи был широко распределен в целях сделать резервные копии на блоки S3.
Я должен разыскать, где ключ используется, так, чтобы я мог заменить его ключом с ограниченными полномочиями.
У меня есть уведомления о событии установки о блоках для отправки сообщений в SQS Q, чтобы сказать мне, когда объекты создаются. Эти сообщения содержат IP-адрес сервера от того, где объектный порожденный запрос, но не я ключевой используемый (только идентификатор используемой Учетной записи Amazon).
Cloudtrail не имеет применения здесь также, поскольку запросы S3 не записаны в Cloudtrail.
Есть ли какой-либо другой способ, которым я могу сказать, какой ключ используется при выполнении запросов S3?
ОБРАТИТЕ ВНИМАНИЕ НА ТО, ЧТО ЭТО НЕ ПРЕДЛОЖЕННОЕ РЕШЕНИЕ, ПРОСТО ОБНОВЛЕНИЕ AN НА ТОМ, ЧТО Я СДЕЛАЛ. ИСПОЛЬЗУЙТЕ МЕТОД, ПРЕДЛОЖЕННЫЙ ВЫШЕ. Я ДОЛЖЕН был ОБНОВИТЬ ВОПРОС.
#Спасибо EEAA
Я полагал, что, но существуют сотни блоков в игре, таким образом, это не было действительно практично. Я надеялся, что было где-нибудь в, я - то, что я мог разыскать ключевое использование.
Учитывая, что у меня были События и SQS, уже настроенный, что я закончил тем, что делал, в конечном счете должен был настроить события на вероятных блоках и соответствовать метке времени события S3 к метке времени, обеспеченной меткой времени key-last-used от, я.
Это дало мне IP-адреса серверов, которые отправляли запросы к S3 в то же время, что и Корневой ключ использовался, из которого я смог найти, что корень включает несколько серверов. Хотелось бы надеяться, когда я проверю корневой ключ за следующие несколько дней, я больше не буду видеть его используемый.
В противном случае я должен буду, вероятно, настроить входящие в систему отдельные блоки, как Вы предположили.
В дополнение к Cloudtrail вам следует включить ведение журнала для ваших сегментов S3. После этого AWS начнет регистрировать канонический идентификатор пользователя , используемый для выполнения аутентифицированных запросов к S3.
Цитата из Документов AWS S3 в полях журнала:
Канонический пользователь ID запрашивающего или строка "Анонимный" для неаутентифицированные запросы. Если запрашивающая сторона была пользователем IAM, это поле вернет имя пользователя IAM запрашивающего вместе с корнем AWS учетная запись, которой принадлежит пользователь IAM. Этот идентификатор тот же используется для контроля доступа.