在努力实现完善的架构框架,其中一个需要纠正的相关问题安全支柱与以下问题相关的是:“您如何管理密钥?”
我们已成功删除几个未使用的密钥,并切换到基于角色的 EC2 实例以替换其他访问密钥,但仍然有 3 个密钥我们无法确定它们的使用位置,因为“上次使用”部分仅显示通用短语,例如“2018-05-08 01:04 ADT with ec2 in us-west-1”,但现在没有办法更深入地了解请求来自 EC2 的哪个位置。
我们的支持提供商很久以前就表示云Trail可能会有所帮助,但他们没有提供有关如何使用它和/或配置 CloudTrail 以获取有关访问密钥的使用详情的更多信息的进一步反馈。
是否真的可以发现这些“孤立”密钥的使用地点?我知道让它们处于非活动状态可能会有所帮助,因为某些东西会停止工作,但我担心我可能没有适当的警报来检测出了什么问题,所以我不是特别喜欢这种方法。
编辑:
来自 CloudTrail 数据的示例云监控日志(涉及敏感数据):
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAJOJXJKHCAFHDDAOR2",
"arn": "arn:aws:iam::00000000000:user/myUser",
"accountId": "078472214496",
"accessKeyId": "AKIAIHS2WHR5REZYJ52Q",
"userName": "myUser"
},
"eventTime": "2018-04-24T17:05:15Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "DescribeSecurityGroups",
"awsRegion": "eu-central-1",
"sourceIPAddress": "34.204.73.91",
"userAgent": "Ruby",
"requestParameters": {
"securityGroupSet": {},
"securityGroupIdSet": {},
"filterSet": {}
},
"responseElements": null,
"requestID": "42d48dd9-7eda-4631-bff5-47c81233a782",
"eventID": "805eb3fb-d5bb-4fa7-804d-2a9cd920c0c0",
"eventType": "AwsApiCall",
"recipientAccountId": "00000000000"
}
关于该事件的一些事:
- 区域是 eu-central-1 且源是 ec2.amazonaws.com,但该区域没有 EC2 资源,似乎某些东西(基于 Ruby)正在查询现有资源(SecGroups、VPC、卷……几乎所有东西)。
- 源IP:34.204.73.91,不属于我们
编辑2:
在 IAM 中我发现了有关最后一次使用的信息:
2018-05-08 14:33 ADT with cloudwatch in us-west-1a
但是 CloudTrail CloudWatchLogs 中没有与 CloudWatch 相关的事件。是否有未通过 CloudTrail 记录的事件?