在 AWS 控制台中,我可以将 IAM 用户分配到由相关策略定义的组。
IAM 中的凭证报告似乎仅报告每个用户的 IAM 的一些基本属性及其上次登录时间(从password_last_used和等各种字段推断access_key_1_last_used_date)。但它没有告诉我组或角色级别的信息。
有什么方法可以监控任何更改这些权限的尝试、成功或其他情况?
答案1
云Trail让您监控对 AWS 的所有 API 调用。我认为这将满足您的需求。用他们的话说
AWS CloudTrail 是一项服务,可实现 AWS 账户的管理、合规性、操作审计和风险审计。借助 CloudTrail,您可以记录、持续监控和保留与 AWS 基础设施中的 API 调用相关的事件。CloudTrail 为您的账户提供 AWS API 调用的历史记录,包括通过 AWS 管理控制台、AWS SDK、命令行工具和其他 AWS 服务进行的 API 调用。此历史记录可简化安全分析、资源更改跟踪和故障排除。
AWS Config类似,它允许您监控和版本控制 AWS 资源的配置。用他们的话说
AWS Config 是一项服务,可让您评估、审计和评估 AWS 资源的配置。Config 持续监控和记录您的 AWS 资源配置,并允许您根据所需配置自动评估记录的配置。借助 Config,您可以查看 AWS 资源之间的配置和关系的变化,深入了解详细的资源配置历史记录,并根据内部指南中指定的配置确定您的整体合规性。这使您能够简化合规性审计、安全分析、变更管理和操作故障排除。
还有付费和开源的第三方工具,它们提供具有更好用户界面的类似服务,或这些服务的用户界面。