AWS:识别访问密钥的使用来源

AWS:识别访问密钥的使用来源

在努力实现完善的架构框架,其中一个需要纠正的相关问题安全支柱与以下问题相关的是:“您如何管理密钥?”

我们已成功删除几个未使用的密钥,并切换到基于角色的 EC2 实例以替换其他访问密钥,但仍然有 3 个密钥我们无法确定它们的使用位置,因为“上次使用”部分仅显示通用短语,例如“2018-05-08 01:04 ADT with ec2 in us-west-1”,但现在没有办法更深入地了解请求来自 EC2 的哪个位置。

我们的支持提供商很久以前就表示云Trail可能会有所帮助,但他们没有提供有关如何使用它和/或配置 CloudTrail 以获取有关访问密钥的使用详情的更多信息的进一步反馈。

是否真的可以发现这些“孤立”密钥的使用地点?我知道让它们处于非活动状态可能会有所帮助,因为某些东西会停止工作,但我担心我可能没有适当的警报来检测出了什么问题,所以我不是特别喜欢这种方法。

编辑:

来自 CloudTrail 数据的示例云监控日志(涉及敏感数据):

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJOJXJKHCAFHDDAOR2",
        "arn": "arn:aws:iam::00000000000:user/myUser",
        "accountId": "078472214496",
        "accessKeyId": "AKIAIHS2WHR5REZYJ52Q",
        "userName": "myUser"
    },
    "eventTime": "2018-04-24T17:05:15Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "DescribeSecurityGroups",
    "awsRegion": "eu-central-1",
    "sourceIPAddress": "34.204.73.91",
    "userAgent": "Ruby",
    "requestParameters": {
        "securityGroupSet": {},
        "securityGroupIdSet": {},
        "filterSet": {}
    },
    "responseElements": null,
    "requestID": "42d48dd9-7eda-4631-bff5-47c81233a782",
    "eventID": "805eb3fb-d5bb-4fa7-804d-2a9cd920c0c0",
    "eventType": "AwsApiCall",
    "recipientAccountId": "00000000000"
}

关于该事件的一些事:

  • 区域是 eu-central-1 且源是 ec2.amazonaws.com,但该区域没有 EC2 资源,似乎某些东西(基于 Ruby)正在查询现有资源(SecGroups、VPC、卷……几乎所有东西)。
  • 源IP:34.204.73.91,不属于我们

编辑2

在 IAM 中我发现了有关最后一次使用的信息:

2018-05-08 14:33 ADT with cloudwatch in us-west-1a

但是 CloudTrail CloudWatchLogs 中没有与 CloudWatch 相关的事件。是否有未通过 CloudTrail 记录的事件?

相关内容