如何知道哪位用户对我的 AWS 基础设施进行了什么样的更改?

上次更新日期:2021 年 11 月 10 日

我需要跟踪哪些用户正在更改我的 AWS 资源和基础设施。

解决方法

您可以使用 AWS CloudTrail 跟踪哪些用户正在更改您的 AWS 资源和基础设施。默认情况下,您的 AWS 账户已启用 CloudTrail。要持续记录您的 AWS 账户中的事件,请创建跟踪记录。使用跟踪记录,CloudTrail 会为您账户上进行的 API 调用创建日志,然后将这些日志传输至您指定的 Amazon Simple Storage Service(Amazon S3)存储桶。

要查看您的日志文件,请执行以下操作:

  1. 打开 CloudTrail 控制台
  2. 在导航窗格中,选择 Trails(跟踪记录)。
  3. 为您要查看的跟踪记录选择 S3 bucket(S3 存储桶)值。Amazon S3 控制台会在日志文件的顶层打开并显示该存储桶。
  4. 选择要查看的日志文件所属 AWS 区域对应的文件夹。
  5. 在存储桶文件夹结构中,导航到该区域中要查看的活动日志的年份、月份和日期。
  6. 选择文件名,然后选择 Download(下载)。
  7. 解压文件,然后使用您喜欢的 JSON 文件视图来查看日志。

日志文件包含 AWS Identity and Access Management(IAM)用户、登录日期和时间,以及登录是否成功。有关 CloudTrail 日志文件的内容和结构的更多信息,请参阅 CloudTrail 日志事件参考

有关使用 CloudTrail 分析账户活动的更多说明,请参阅使用 CloudTrail