哪个用户启动了EC2实例？

Question

我有一些EC2实例,我不知道是谁推出了它们.

有没有办法知道谁发起了一个特定的实例？

Answer 1

遗憾的是,此信息无法通过API调用直接提供 - 您目前有两种选择:

1. 根据您的需求,您可以通过使用DescribeInstances API操作来查看key-name用于启动该实例的用途(如果有的话,它是可选的,尽管通常已经到位),您可以近似您的目标- 假设您已遵循安全最佳实践并使用专用每个IAM用户使用EC2密钥对(而不是共享密钥),密钥通常应表示启动实例的用户;)
   • 这是最容易通过AWS命令行界面测试的,特别是describe-instances
2. 如今,您可以激活AWS CloudTrail,它记录您帐户的AWS API调用并向您提供日志文件,并提供您所追求的信息:
   

   记录的信息包括API调用者的身份,API调用的时间,API调用者的源IP地址,请求参数以及AWS服务返回的响应元素.

AWS CloudTrail是一个姗姗来迟且非常宝贵的工具,可以提供前所未有的AWS使用情况; 它很容易上手,目前只有一些警告:

• 最重要的是,它尚未在所有地区提供,但AWS刚刚将其扩展到3个,总共5个,请参阅AWS CloudTrail再次扩展 - 更多地点和服务,从而快速接近其整个全球基础架构的覆盖范围
• 并非所有服务都已涵盖,但AWS已将其扩展至7个以上,共计15个,请参阅AWS CloudTrail更新 - 七个新服务
• 根据您的需求,您很可能希望采用Logging as a Service(LaaS)解决方案来轻松挖掘大量日志,并提供警报等. - 多家提供商已经提供专用的CloudTrail集成(通常是免费的)层也足够了)
• 事件在API调用的15分钟内发送,结果日志大约每5分钟发送到S3存储桶,最大延迟时间为20分钟,足以进行事后和批量分析,但不足以实现近实时警报当然(请参阅AWS CloudTrail常见问题解答)