我继承了几个 AWS 环境。我最近一直在对 s3 进行安全审计,发现几个策略的主体包含我不认识的 aws 帐号,而且我公司也没有人熟悉这些帐号。所以我想基本上对相关帐户的所有者进行反向查找。我想确定这些策略是否仍然有效或可以删除。
答案1
目前没有公共 API。您可以联系 AWS 支持代表来寻求帮助。
答案2
(对于其他人来说,他们可能会在稍后发现此讨论,就像我一样:)
如果您尝试识别的任何帐户 ID 位于 AWS CloudFront 分布 ARN 中,则该帐户 ID 可能是 AWS 托管帐户的帐户 ID,因为边缘优化 API 网关端点(通常?)位于 AWS 托管帐户中。
您可以在此处找到属于该类别的帐户 ID 列表: https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-edge-optimized-custom-domain-name.html#how-to-custom-domain-log-cloudfront-distribution-update-in-cloudtrail
我是从此 AWS 文档:
注意:通过 API Gateway 或 AWS Amplify 托管中的边缘优化 API 终端节点创建的 CloudFront 分配由 AWS 托管账户管理。在这种情况下,输出中的 AWS 账户 ID 与 AWS 托管账户相关。为 API Gateway 中的边缘优化 API 终端节点创建的 CloudFront 分配可以通过特定于区域的 API Gateway 账户 ID 来识别。有关特定于区域的 API Gateway 账户 ID 的完整列表,请参阅在 CloudTrail 中记录自定义域名创建。