Pourquoi est-il impossible de rechercher le nom de l'utilisateur qui a créé un volume EBS en le recherchant dans les journaux des événements CloudTrail ?

Date de la dernière mise à jour : 29/07/2019

Je souhaite identifier l'utilisateur qui a créé un volume Amazon Elastic Block Store (Amazon EBS) pour pouvoir le supprimer en toute sécurité.

Brève description

Les journaux d'événements AWS CloudTrail CreateVolume ne sont pas disponibles pour les volumes EBS créés au cours du lancement d'Amazon Elastic Compute Cloud (Amazon EC2).

Pour identifier le nom d'utilisateur qui a créé le volume EBS :

  • Les volumes EBS créés manuellement peuvent utiliser l'ID de volume pour afficher les journaux d'événements CloudTrail pour CreateVolume.
  • Les volumes EBS créés au cours du lancement d'EC2 peuvent utiliser l'ID d'instance EC2 pour afficher les journaux d'événements CloudTrail pour RunInstances.

Pour plus d'informations, consultez Affichage des événements CloudTrail dans la console CloudTrail.

Remarque : cela ne s'applique qu'aux volumes EBS qui ont été créés après l'activation d'AWS Config et de CloudTrail.

Solution

Vérifier que le volume EBS a été créé au cours du lancement d'EC2 ou manuellement

  1. Ouvrez la console Amazon EC2, développez Elastic Block Store, puis choisissez Volumes.
  2. Copiez l'ID du volume EBS.
  3. Ouvrez la console AWS Config, puis choisissez Resources (Ressources).
  4. Dans Resource type (Type de ressource), sous EC2, choisissez Volume.
  5. Dans Resource identifier (Identificateur de ressource), collez l'ID de volume à partir de l'étape 2, puis choisissez Look up (Rechercher).
  6. Dans Resource identifier (Identificateur de ressource), choisissez l'ID de volume.
  7. Choisissez Configurer timeline (Configurer la chronologie).
  8. Développez Relationships (Relations).
  9. Si vous ne voyez pas un ID d'instance EC2, cela signifie que le volume EBS a été créé manuellement.
  10. Si vous voyez un ID d'instance EC2, cela signifie que le volume EBS a été créé au cours du lancement d'EC2 ou associé par la suite. Copiez l'ID de l'instance EC2.

Rechercher le nom de l'utilisateur qui a créé le volume EBS

Si le volume EBS a été créé manuellement, effectuez les opérations suivantes :

  1. Ouvrez la console CloudTrail, puis choisissez Event history (Historique des événements).
  2. Dans Filter (Filtre), choisissez Ressource name (Nom de la ressource).
  3. Dans Enter resource name (Saisir le nom de la ressource), collez l'ID de volume EBS, puis appuyez sur Entrée sur votre machine.
  4. Développez l’événement, puis notez le nom d'utilisateur.

Si le volume EBS a été créé au cours du lancement d'EC2, procédez comme suit :

  1. Ouvrez la console CloudTrail, puis choisissez Event history (Historique des événements).
  2. Dans Filter (Filtre), choisissez Ressource name (Nom de la ressource).
  3. Dans Enter resource name (Saisir le nom de la ressource), collez l'ID d'instance EC2, puis appuyez sur Entrée sur votre machine.
  4. Développez l'événement, puis notez le nom d'utilisateur.

Remarque : vous ne pouvez pas supprimer un volume EBS si l'attribut DeleteonTermination a la valeur false. Pour plus d'informations, consultez Préservation des volumes Amazon EBS lors de la mise hors service d'une instance.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?