最近我们遇到了一个情况:分配给生产服务器的弹性IP地址神秘地与该服务器分离。 其他(幸运的是,非生产性)服务器也发生过这种情况。 我们有几个pipe理员在控制台,但没有人是拥有的错误。 有审计AWS控制台活动的方法吗?
编辑: AWS已经发布了CloudTrail ,它满足了这个需求。
不需要。如果您需要审计,您可能需要将自己的前端封装在AWS API中。 如果您已经支付了支持,AWS 可能能够查看他们的内部日志,我不知道。
需要注意的一点是,停止的非VPC EC2实例将失去其EIP。 VPC实例在停机期间保持其关联(及其内部IP)。
我尚未使用该服务,但看起来有一个名为CloudTrail的服务用于loggingAWS API活动:
借助CloudTrail,您可以获取您的账户的AWS API调用历史logging,包括通过AWSpipe理控制台,AWS开发工具包,命令行工具以及更高级的AWS服务(如AWS CloudFormation)进行的API调用。 CloudTrail生成的AWS API调用历史logging支持安全分析,资源更改跟踪和合规性审计。
根据您所在的地区,我同意forforf,并build议您查看CloudTrail。 您可能还想要在整个AWS中查看您当前的安全状况。
我们在AWS中遇到了超过20个pipe理员的问题。 厨房里有太多的厨师。 然后,我们决定让SU访问我们的两个企业架构师,然后根据pipe理员angular色分割访问IAM。 开发,运营,工程,安全等方面。如果有变化,我们至less可以弄清楚是谁做了1-2人之间的变化,而不是20人。
此外,我们还实施了厨师,这有助于审计,等等,但取决于你的环境,需求等。
对于您的情况,如果是我…我会收集所有实例的IP,然后单击AWS控制台中的弹性networking接口。 通过这些IP地址searchENI。 点击每个ENI,并将终止行为改为False。 然后进入IAM并拒绝EIP附件和分离到多个pipe理员的权限。
我也会为每个实例启用终止保护。 如果你在一个VPC环境中的任何EIP关联或内部IP的事情不会改变实例停止或重新启动…如果实例在EC2的经典,它会的。