为什么我无法通过搜索 CloudTrail 事件日志找到创建 EBS 卷的用户名？

简短描述

AWS CloudTrail 事件日志 CreateVolume 不适用于在 Amazon Elastic Compute Cloud（Amazon EC2）启动期间创建的 EBS 卷。

要确定创建 EBS 卷的用户名，请执行以下操作：

• 手动创建的 EBS 卷可以使用卷 ID 查看 CloudTrail 事件日志中的 CreateVolume。
• 在 EC2 启动期间创建的 EBS 卷可以使用 EC2 实例 ID 查看 CloudTrail 事件日志中的 RunInstances。

有关更多信息，请参阅在 CloudTrail 控制台中查看 CloudTrail 事件。

**注意：**这仅适用于激活 AWS Config 和 CloudTrail 后创建的 EBS 卷。

解决方法

验证 EBS 卷是在 EC2 启动期间创建的还是手动创建的

1. 打开 Amazon EC2 控制台，展开 Elastic Block Store，然后选择 Volumes（卷）。
2. 复制 EBS 卷的卷 ID 。
3. 打开 AWS Config 控制台，然后选择 Resources（资源）。
4. 在 Resource type（资源类型）下拉列表中，选择 AWS EC2 Volume（AWS EC2 卷）。
5. 在 Resource identifier（资源标识符）中，粘贴步骤 2 中的 Volume ID（卷 ID）。 然后，选中该单选按钮并选择 Resource Timeline（资源时间线），打开 AWS Config 捕获的资源时间线。
6. 在 Events（事件）中，展开 Configuration Change（配置更改）。然后，选择 View full record（查看完整记录）。
7. 展开 Relationships（关系）。
8. 如果您没有看到 EC2 实例 ID，则表示您的 EBS 卷是手动创建的。
9. 如果您看到 EC2 实例 ID，则表示您的 EBS 卷是在 EC2 启动期间创建的，或之后附加的。复制 EC2 实例 ID。

查找创建 EBS 卷的用户名

如果 EBS 卷是手动创建的，请执行以下步骤：

1. 打开 CloudTrail 控制台，然后选择 Event history（事件历史记录）。
2. 对于筛选条件，选择资源名称。
3. 在 Enter resource name（输入资源名称）中，粘贴 EBS 卷的卷 ID，然后按您的设备上的 Enter 键。
4. 选择要展开的 Event（事件）并显示完整的事件记录。记下 arn 和 userName 以确定手动创建 EBS 卷的用户。

如果 EBS 卷是在 EC2 启动期间创建的，请按照以下步骤操作：

1. 打开 CloudTrail 控制台，然后选择 Event history（事件历史记录）。
2. 在 Filter（筛选条件）中，选择 Resource name（资源名称）。
3. 在 Enter resource name（输入资源名称）中，粘贴从 AWS Config 控制台复制的 EC2 instance ID（EC2 实例 ID）。然后，在您的设备上按 Enter 键。
4. 选择要展开的 Event（事件）并显示完整的事件记录。记下 arn 和 userName 以确定启动 EC2 实例的用户。

**注意：**如果 DeleteonTermination 属性设置为 false，则无法删除 EBS 卷。有关更多信息，请参阅在实例终止时保留 Amazon EBS 卷。

---