我们最近遇到过这种情况:分配给生产服务器的弹性 IP 地址神秘地与该服务器断开了关联。我们过去在其他(幸运的是,非生产)服务器上也遇到过同样的事情。控制台中有几位管理员,但没有人承认错误。有没有什么方法可以审计 AWS 控制台活动?
答案1
编辑:AWS 此后发布了云Trail,满足了这一需求。
不。如果您需要审计,您可能需要将自己的前端包装在 AWS API 周围。如果您有付费支持 AWS可能能够查看他们的内部日志,我不知道。
需要注意的一点是,停止的非 VPC EC2 实例将丢失其 EIP。VPC 实例在停止期间会保留其关联(以及其内部 IP)。
答案2
我还没有使用过该服务,但看起来有一项名为 CloudTrail 的服务用于记录 AWS API 活动:
答案3
根据您所在的地区,我同意 forforf 的观点,并建议您查看 CloudTrail。您可能还想检查一下 AWS 内当前的安全状况。
我们在 AWS 中遇到了同样的问题,因为有超过 20 名管理员。厨房里的厨师太多了。然后,我们决定将 SU 访问权限授予我们的 2 名企业架构师,然后根据管理员角色在 IAM 中分段访问。开发、运营、工程、安全等。这样,如果进行了更改,我们至少可以找出是谁在 1-2 个人之间进行了更改,而不是 20 个人。
我们还实施了 Chef,这有助于审计等。但这取决于您的环境、需求等。
对于您的情况 - 如果是我...我会收集我所有实例的 IP,然后单击 AWS 控制台中的“弹性网络接口”。通过这些 IP 地址搜索 ENI。单击每个 ENI,并将终止时的终止行为更改为 False。然后进入 IAM 并拒绝多个管理员的 EIP 附加和分离权限。
我还将为每个实例启用终止保护。如果您在 VPC 环境中,则任何 EIP 关联或内部 IP 都不会在实例停止或重新启动时发生变化……如果实例在 ec2 classic 中,则会发生变化。