如何使用 Cloudtrail 获取 IAM 用户的创建者

Question

如何使用 Cloudtrail 获取 IAM 用户的创建者，如何从日志中获取

Answer 1

• 如果 IAM 用户是在过去 90 天内创建的，您可以使用 CloudTrail 事件历史记录查找创建该用户的人员。
  • 使用 AWS CLI： aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=CreateUser --region us-east-1
  • 使用控制台：转到 CloudTrail 服务中的事件历史记录，选择值为 CreateUser 的 EventName 过滤器。您必须使用区域 us-east-1 才能查看事件。
• 如果 IAM 用户是在 90 天时间范围之外创建的，并且您在 CloudTrail 中启用了跟踪，您仍然可以找出创建该用户的人。您可以使用 Amazon Athena 或其他某种方法来搜索 CloudTrail 在 S3 中创建的日志文件。

参考：

• https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-cli.html（请注意 2021 年 11 月 22 日后的全球服务免责声明）
• https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html
• https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html