为什么我无法通过搜索 CloudTrail 事件日志找到创建 EBS 卷的用户的用户名?

上次更新时间:2019 年 7 月 29 日

我想找出谁创建了 Amazon Elastic Block Store (Amazon EBS) 卷,以便我可以安全地删除它。

简短描述

AWS CloudTrail 事件日志 CreateVolume 不适用于在 Amazon Elastic Compute Cloud (Amazon EC2) 启动期间创建的 EBS 卷。

要确定创建 EBS 卷的用户的用户名,请执行以下操作:

  • 手动创建的 EBS 卷可以使用卷 ID 查看 CreateVolume 的 CloudTrail 事件日志。
  • 在 EC2 启动期间创建的 EBS 卷可以使用 EC2 实例 ID 查看 RunInstances 的 CloudTrail 事件日志。

有关更多信息,请参阅在 CloudTrail 控制台中查看 CloudTrail 事件

注意:这仅适用于激活 AWS Config 和 CloudTrail 后创建的 EBS 卷。

解决方法

验证 EBS 卷是在 EC2 启动期间创建的还是手动创建的

  1. 打开 Amazon EC2 控制台,展开 Elastic Block Store,然后选择
  2. 复制 EBS 卷的卷 ID
  3. 打开 AWS Config 控制台,然后选择资源
  4. 资源类型中的 EC2 下,选择
  5. 资源标识符中,粘贴从步骤 2 中复制的卷 ID,然后选择查找
  6. 资源标识符中,选择您的卷 ID。
  7. 选择配置时间线
  8. 展开关系
  9. 如果您没有看到 EC2 实例 ID,则表示您的 EBS 卷是手动创建的。
  10. 如果您看到 EC2 实例 ID,则表示您的 EBS 卷是在 EC2 启动期间创建的,或之后附加的。复制 EC2 实例 ID

查找创建 EBS 卷的用户的用户名

如果 EBS 卷是手动创建的,请执行以下操作:

  1. 打开 CloudTrail 控制台,然后选择事件历史记录
  2. 对于筛选条件,选择资源名称
  3. 输入资源名称中,粘贴 EBS 卷的卷 ID,然后按您的设备上的 Enter 键。
  4. 展开事件,并记下用户名

如果 EBS 卷是在 EC2 启动期间创建的,请执行以下操作:

  1. 打开 CloudTrail 控制台,然后选择事件历史记录
  2. 对于筛选条件,选择资源名称
  3. 输入资源名称中,粘贴 EC2 实例 ID,然后按您的设备上的 Enter 键。
  4. 展开事件,并记下用户名

注意:如果 DeleteonTermination 属性设置为 false,则无法删除 EBS 卷。有关更多信息,请参阅在实例终止时保留 Amazon EBS 卷

这篇文章对您有帮助吗?

没有

我们可以改进什么?

让我们知道

需要更多帮助吗?

请与 AWS Support 联系