在AWS控制台中,我可以将IAM用户分配给其权限由相关策略定义的组。
IAM中的凭证报告似乎只报告IAM每个用户的一些基本属性及其最后login时间(从各个字段(如password_last_used和access_key_1_last_used_date )推断出来)。 但它没有告诉我组或angular色级别的信息。
有什么办法可以监视任何尝试,成功或以其他方式更改这些权限?
CloudTrail让您可以监控所有到AWS的API调用。 这将做我认为你想要的。 用他们的话说
AWS CloudTrail是一项服务,支持您的AWS账户的治理,合规性,运营审计和风险审计。 借助CloudTrail,您可以在AWS基础架构上logging,持续监视和保留与API调用相关的事件。 CloudTrail为您的帐户提供AWS API调用的历史logging,包括通过AWSpipe理控制台,AWS开发工具包,命令行工具和其他AWS服务进行的API调用。 这个历史简化了安全分析,资源变更跟踪和故障排除。
AWS Config与此类似,因为它允许您监视和版本控制AWS资源的configuration。 用他们的话说
AWS Config是一项服务,可让您评估,审核和评估AWS资源的configuration。 Config持续监视和logging您的AWS资源configuration,并允许您根据所需的configuration自动评估logging的configuration。 通过Config,您可以查看AWS资源之间configuration和关系的变化,深入了解详细的资源configuration历史logging,并根据内部指南中指定的configuration确定您的整体合规性。 这使您可以简化合规审计,安全分析,变更pipe理和操作故障排除。
还有第三方工具,付费和开源,提供更好的用户界面或这些服务的用户界面相似的服务。