我的整个团队都通过联合登录访问一个AWS账户。除我的团队外,只有管理员(root用户)有权访问此帐户。但是root用户仅用于管理目的。
我们所有人都通过基于SAML的SSO登录到AWS控制台。AWS控制台的导航栏将用户信息显示为:
联合登录:TEAM-NAME/email.of.logged.in.user@organization.com
帐户:1234-5678-1234
由于它是一个帐户,因此该帐户ID对所有联合用户都是通用的。但是电子邮件是他们自己的。另外,点击导航栏中的“我的帐户”链接后,该帐户名称显示为
假定角色/TEAM-NAME/email.of.logged.in.user@organization.com
我的项目的一部分是确定某些AWS资源的创建者。现在,假定某个联合用户创建了一个存储桶。我可以作为另一个联盟用户来跟踪谁(电子邮件)创建了该存储桶吗?那其他类型的资源(不只是s3存储桶)呢?
您可以使用Amazon Cloud Trail进行跟踪。但是,作为联盟用户,您必须确保您具有Amazon Cloud Trail访问权限。拥有Cloud Trail访问权限后,您可以使用“ 资源名称”过滤器过滤存储桶名称。
非常感谢你。但是90天的限制有点令人沮丧。有什么办法可以克服吗?
您可以将其交付到s3存储桶,甚至交付到cloudwatch,以保留更长的时间。