在 AWS 上,我们如何找出使用访问密钥的对象?

On AWS how can we find out what is using an access key?

我在 AWS 上有一个用户设置,需要删除该用户,但是他们有一个访问密钥设置,它曾经用于我们设置的一些监视器,但现在不用于监视器。但是,当我查看访问密钥的最后使用日期时,它通常显示过去 5 分钟内的使用情况。它表明它与 S3 一起使用,但在我的一生中,我找不到任何将密钥与 S3 存储桶相关联或将在何处使用的东西。我启用了 Cloudtrail,并尝试查看这些日志以查找使用访问密钥的位置,但出于某些原因,Cloudtrail 似乎没有跟踪访问密钥的使用情况,或者至少没有在 Cloudtrail 日志中将其记录下来。

我可以禁用访问密钥,但不想破坏正在使用它的任何东西。所以我希望有一种方法可以让我找出我不知道的这个。有什么想法吗?

https://aws.amazon.com/premiumsupport/knowledge-center/view-iam-history/

您可以使用 CloudTrail。引用上面的关键步骤 link:

  1. Open the CloudTrail console.
  2. Choose Event history.
  3. In Filter, select the dropdown menu. Then, choose User name. Note: You can also filter by AWS access key.
  4. In the Enter user or role name text box, enter the IAM user's "friendly name" or the assumed role session name.
  5. In Time range, enter the desired time range. Then, choose Apply.
  6. In Event time, expand the event. Then, choose View event. The userIdentity element contains details about the type of IAM identity that made the request and the credentials provided.

编辑:

如果您怀疑 S3 activity 用于 object-level activity(例如在 S3 中下载和上传对象),此 link 有一些详细信息您可以在 CloudTrail 中启用跟踪:

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html

不幸的是,它不像浏览事件历史那么简单。您将必须创建跟踪,然后扫描存储在 S3 或 CloudWatch 中的生成的跟踪日志。