在我们的场景中,我们之前有一些 AWS 密钥。IAM 接口显示/显示没有使用,但员工已经能够上传资源。有人能建议如何检查接口是否只是出错,或者他们是否没有使用这些凭证吗?
我尝试过的 ATHENA 查询
SELECT eventTime, eventName, userIdentity.principalId,eventSource
FROM athena-table
WHERE useridentity.accesskeyid like 'AKIAIOSFODNN7EXAMPLE'
SELECT *
FROM athena-table
WHERE useridentity.type = 'IAMUser'
AND useridentity.username LIKE 'Alice';
在 IAM 控制台中,上次活动显示为“从不”。
我们将删除该用户,但在此之前,我想看看她如何在未登录的情况下使用该帐户。有没有更好的方法来找出这个问题?
答案1
这资历报告应该是在云端调查此事的正确方法。
您可以让用户检查他们拥有的内容~/.aws/config并~/.aws/credentials确认他们正在使用哪些凭据。
它看起来像这样:
[profile_name]
aws_access_key_id = SHORTERSTRING
aws_secret_access_key = LONGERSTRINGGOESHEREWITHMORECHARS
使用凭证报告来查明 IAM 用户上次使用访问密钥的时间。如果看起来不对,那么您可能需要深入研究 CloudTrail 日志以查明何时/何地使用该密钥。
更激进的方法是撤销访问密钥,直到有人对你大喊大叫:D