Perché non riesco a trovare il nome utente che ha creato un volume EBS cercando nei registri degli eventi di CloudTrail?

3 minuti di lettura
0

Desidero scoprire chi ha creato un volume Amazon Elastic Block Store (Amazon EBS) in modo da poterlo eliminare in sicurezza.

Breve descrizione

I registri degli eventi di AWS CloudTrail CreateVolume non sono disponibili per i volumi EBS creati durante l’avvio di Amazon Elastic Compute Cloud (Amazon EC2).

Per determinare il nome utente che ha creato il volume EBS:

  • I volumi EBS creati manualmente possono utilizzare l'ID del volume per visualizzare i registri degli eventi di CloudTrail per CreateVolume.
  • I volumi EBS creati durante l’avvio di EC2 possono utilizzare l'ID dell'istanza EC2 per visualizzare i registri degli eventi di CloudTrail per RunInstances.

Per ulteriori informazioni, consultare Visualizzazione degli eventi CloudTrail nella console CloudTrail.

Nota: ciò è valido solo per i volumi EBS creati dopo l'attivazione di AWS Config e CloudTrail.

Risoluzione

**Determina se il volume EBS è stato creato durante l’avvio di EC2 o creato manualmente **

  1. Apri la Console Amazon EC2, espandi Elastic Block Store, quindi scegli Volumi.
  2. Copia l'ID del volume del volume EBS.
  3. Apri la Console AWS Config, quindi scegli Risorse.
  4. Nell'elenco a discesa Tipo di risorsa, scegli AWS EC2 Volume.
  5. In Identificatore risorse, incolla l'ID del volume del passaggio 2. Quindi, seleziona il pulsante di opzione e scegli Cronologia delle risorse per aprire la cronologia della risorsa acquisita da AWS Config.
  6. In Eventi, espandi la Modifica della configurazione. Quindi, scegli Visualizza record completo.
  7. Espandi Relazioni.
  8. Se non viene visualizzato un ID di istanza EC2, significa che il tuo volume EBS è stato creato manualmente.
  9. Se viene visualizzato un ID di istanza EC2, significa che il tuo volume EBS è stato creato durante l'avvio di EC2 o allegato successivamente. Copia l'ID dell'istanza EC2.

**Trova il nome utente che ha creato il volume EBS **

Se il volume EBS è stato creato manualmente, procedi nel modo seguente:

  1. Apri la Console CloudTrail, quindi scegli Cronologia eventi.
  2. In Filtro, scegli Nome risorsa.
  3. In Inserisci il nome della risorsa, incolla l'ID del volume EBS, quindi premi Invio dal tuo dispositivo.
  4. Scegli l'Evento da espandere e mostrare il record completo dell'evento. Prendi nota dei valori arn e UserName per identificare l'utente che ha creato manualmente il volume EBS.

Se il volume EBS è stato creato durante l’avvio di EC2, segui questi passaggi:

  1. Apri la Console CloudTrail, quindi scegli Cronologia eventi.
  2. In Filtro, scegli Nome risorsa.
  3. In Inserisci il nome della risorsa, incolla l'ID dell'istanza EC2 che hai copiato dalla console AWS Config. Quindi, premi Invio dal tuo dispositivo.
  4. Scegli l'Evento da espandere e mostrare il record completo dell'evento. Prendi nota dei valori arn e userName per identificare l'utente che ha avviato l’istanza EC2.

Nota: non è possibile eliminare un volume EBS se l'attributo deleteOnTermination è impostato su false. Per ulteriori informazioni, consultare Conservazione dei volumi Amazon EBS all'interruzione di un'istanza.


AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa