我正在寻找一种在100多个AWS帐户中运行IAM凭据报告的可靠方法。我已经能够在做这件事的时候使用awsume和awscli循环浏览账户,但这是一件苦差事。试图找到一种更可靠的方法来做到这一点。这个想法是定期获得一个90多天未使用的帐户列表,以便用户通知和删除。TIA。
我用PowerShell脚本做了类似的事情(抱歉,无法共享(-本质上,你需要写一些代码来完成以下操作(针对每个帐户(:
- 列出所有具有
GetUser的用户,并检索字段PasswordLastUsed - 对于每个用户,调用
ListAccessKeys来检索他们的访问密钥 - 最后在每个键上调用
GetAccessKeyLastUsed,得到字段AccessKeyLastUsed
PasswordLastUsed和AccessKeyLastUsed值指示每个帐户中每个用户的最后活动。
如果账户在aws组织中,你也可以编写遍历组织中每个账户的脚本(或者同样容易地使用文本/CSV文件等(。
亚马逊文档:
- https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html
- https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html
- https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html
具体的编写方式有点特定于您(您使用的操作系统、您知道的编程/脚本语言、您如何管理凭据等(。