我如何使用 CloudTrail 搜索 IAM 访问密钥 API 活动?

上次更新时间:2019 年 1 月 10 日

如何查看与 AWS Identity and Access Management (IAM) 访问密钥 ID 相关的 AWS API 活动?

简短描述

如果发生以下情况,检查您的 IAM 访问密钥活动:

  • 用户账户被盗,而且您需要识别使用一组访问凭证执行的所有 AWS API 活动。
  • 您需要与 IAM 实体一起执行审计活动,以确保合规。
  • 您正在交替轮换访问凭证,而且您要验证凭证没有正在使用。
    注意:已删除的访问凭证无法恢复。
  • 您下载了 IAM 凭证报告,但该报告未列出 AWS API 活动。

注意:结果仅限于已经登录到 AWS CloudTrail 的 AWS 服务。有关更多信息,请参阅 CloudTrail 支持的服务和集成

解决方法

使用 AWS CloudTrail 事件历史记录识别您的 IAM 访问密钥在过去 90 天里的 AWS API 活动。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

  1. 打开 CloudTrail 控制台,然后从导航窗格中选择事件历史记录
  2. 筛选器下拉菜单中,请选择 AWS 访问密钥筛选器。
  3. 输入 AWS 访问密钥字段中,输入 IAM 访问密钥 ID
  4. 时间范围字段中,选择时间范围,然后选择应用

注意:要确定 90 多天以前的 AWS API 活动,请参阅如何在 Amazon Athena 中自动创建表以搜索 AWS CloudTrail 日志?

有关 IAM 的唯一 ID 标识符的更多信息,请参阅 IAM 标识符


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?