我有一些用户可以通过该aws ec2 run-instances --user-data file://bla.sh
选项向实例提交脚本。
我已经设置了 CloudTrail,将我需要记录的几乎所有数据保存到用户无权访问的加密日志存储桶中,包括运行实例事件。我需要记录脚本本身,但 CloudTrail 在事件日志中显示以下内容:
"userData": "<sensitiveDataRemoved>"
有没有办法允许通过 CloudTrail 或类似的 AWS 服务记录用户数据?
我可以创建一个守护进程,在启动时检查用户数据,并将其发送到存储桶,但这意味着运行实例的假定角色对存储桶中记录的脚本具有写访问权限。对于其他日志,我更喜欢类似 CloudTrail 的解决方案,因为用户无权访问任何日志事件或日志本身。
干杯!