0
我想创建一个工具来监控AWS未使用的实例,然后发送一封电子邮件给启动该实例的用户,要求他们关闭它,如果他们不使用它。如何确定使用哪个AWS访问密钥ID来启动实例?
假设我有一个数据库,其中存在访问密钥ID和我们公司启动EC2实例的用户的电子邮件地址之间的映射关系,如何找到正在运行的EC2实例的访问密钥ID?
是否有任何现有的软件或服务已经这样做?
A
回答
1
你不能这样做 - 用户和正在运行的实例之间并不总是有关系。
想想autoscaling:一个实例可以响应一个事件联机,运行几个小时,然后消失。无需人为干预。
您可以通过打开CloudTrail来获取创建它的用户的一些信息,但它不会识别使用哪个密钥。请记住,用户可以拥有多个密钥。
如果您确实想确保您可以跟踪哪些人正在启动实例,请将策略放入需要特定标记(例如“所有者”)的电子邮件地址中,并终止所有没有该实例的实例标记集。 (您应该可以使用AWS Config规则执行此操作)
+0
CloudTrail实际上记录哪些访问密钥用于每个请求。见:http:但是,无论如何,我同意你的观点,这不是追踪谁做了什么的理想方式 - 正如你所提到的,用户可以拥有多个键,并且可以旋转;除此之外,还有各种各样的临时钥匙,因此不太可行的方法来追踪谁做了什么。 –
+0
@BrunoReis CloudTrail记录了足以跟踪动作的iam用户。 – helloV
+0
@helloV,是的 - 上面链接的文档页面详细解释了这一点。我只是评论克里斯的信息,说“它不会识别哪个密钥被使用过” - 它确实如此。 –
1
所有实例都将具有与其关联的IAM用户。您可以从CloudTrail获取这些信息,但它会显示最近2周的路径,因此您需要定期收集数据并将其存储起来。
我的方法是:我使用CloudTrail + Lambda的组合并在实例启动时标记实例。标签可以是名字或电子邮件。当我看到未使用的实例时,我查询标签并发送由标签标识的电子邮件。它完美无瑕。我发布它作为一个问题:Mandatory tagging when launching EC2 instance
检查我发布的接受答案。了解AWS Lambda很有趣。 Lambda使用率低于免费等级限制,我不支付使用AWS Lambda的费用。
相关问题
- 1. 部署,而无需使用AWS秘密访问密钥和AWS EC2实例访问密钥
- 2. AWS Educate帐户的访问密钥ID和秘密访问密钥
- 3. 如何指定AWS访问密钥ID和秘密访问密钥作为亚马逊S3N URL的一部分
- 4. 使用与用于启动实例的密钥不同的另一个密钥连接到AWS
- 5. Vagrantfile,AWS访问密钥
- 6. 如何从.pem文件获取AWS访问密钥ID和秘密访问密钥
- 7. AWS EC2实例:启动多个实例
- 8. AWS IAM EC2访问实例ID
- 9. 哪个core-site.xml添加我的AWS访问密钥?
- 10. 如何确定通过发送虚拟密钥VK_LAUNCH_MEDIA_SELECT启动哪个播放器
- 11. 使用自定义KMS密钥访问AWS参数存储值
- 12. AWS自动启动特定实例
- 13. 无密钥对的SSH到AWS实例
- 14. 使用AWS实例无法访问Elasticsearch
- 15. Right_aws ruby gem:我必须在哪里存储AWS访问密钥和密钥?
- 16. 如何验证Amazon访问密钥和密钥是否正确?
- 17. 如何访问与密钥对无关的ec2实例
- 18. AWS访问密钥ID未能在Hadoop FS -cp命令
- 19. 禁用密码并启用SSH keygen,例如AWS EC2实例
- 20. 确定哪个NSView实例启动了mouseDown:
- 21. 使用动态密钥访问阵列
- 22. AWS:访问Auto Scaling实例
- 23. AWS实例启动但无法访问SolOS cli
- 24. 通过AWS CLI传递访问密钥和密钥
- 25. 启动一个AWS实例与API,AUTHPARAMS
- 26. 如何访问我的TLS/HTTPS密钥才能启动ListenAndServeTLS?
- 27. 哪个用户启动了EC2实例?
- 28. 如何在C++中隐藏我的AWS S3访问密钥和密钥?
- 29. NDB投影实例密钥或ID
- 30. 如何在对象访问动态密钥值的密钥angularjs
Netperix的看门人猴子是你正在寻找通过这篇文章http://techblog.netflix.com/2013/01/janitor-monkey-keeping-cloud-tidy-and.html – error2007s