Q&A
知りたいこと
AWSのIAMユーザ・ロールにて利用したアクションのリストを出したいと考えております。
IAMユーザやロールに、はじめは大きな権限を与えておき、一通りの機能を実装・試験した後で、利用したアクションをリスト化することができればと思っております。
例えば、「AmazonS3FullAccess」の権限を与えておき、後から使ったアクション(PutObjectやDeleteObject)だけをリスト化したいと考えております。
利用したアクションをリスト化することで、それだけに絞ったポリシーを作成できると考えております。
試したこと
IAMの画面内で、ユーザー名をクリックした後に表示される「アクセスアドバイザー」を表示させると、ポリシー名ごとにいつ利用したか表示されますが、ここで出てくるのはあくまで利用したポリシー名であって、PutObjectやDeleteObjectといったアクションのリストではありませんでした。
上記の理由から利用したアクションのリストを出したいと考えております。
以上、よろしくお願いいたします。
回答1件
0
ベストアンサー
CloudTrailを使うと、どのユーザ/ロールがAWSのどのAPIコールをしたのかを確認することができます。
デフォルトだと90日分のイベント履歴を確認することができます。
それとは別に証跡情報をS3に保存することができるので、S3への保存設定を行っておけば過去の情報をそこから検索することも可能です。
S3に保存したCloudTrailのログに対してAthenaでクエリを投げることもできます。
ドキュメントだと手動でテーブルをとりあえず作成する方法がまず出てきますが、この方法だとパーティションが設定されずに毎回全量検索なので、できればGlueを使って成型するか、Lake Formationを使うことをオススメします。
Lake Formationはめちゃくちゃ分かりづらいのが難点ですが…。
CloudTrail ログと Athena テーブルについて
AWS Glue・Amazon Athena・Amazon QuickSightを使ってAWS CloudTrailログをETL後に可視化する
AWS Lake Formationのチュートリアルをやってみた!
※ちょうどCloudTrailのログに対して成型してS3に出力させるサンプルを実行しています。
投稿2021/03/11 08:40
総合スコア7588
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/03/12 02:43