我正试图用boto3和lambda构建一个脚本,以获取aws中跨区域创建的所有资源的所有者的电子邮件地址(至少从EC2开始(。这样做的目的是通知所有者他们有这么多资源。
import boto3
ec2 = boto3.client('ec2')
iam = boto3.client('iam').list_users()
iam-json有所有的用户信息,但没有电子邮件地址,ec2有所有者id,但我不知道如何获得所有者id。
如果有第三方服务,我也愿意考虑。
AWS中没有"资源所有权"的概念。
相反,当用户进行API调用(或使用控制台(来创建资源时,AWS确认他们有权进行API调用。如果是,则创建资源,并且资源属于AWS帐户。没有指向请求资源的用户的链接。
AWS CloudTrail服务保存API调用的审核日志,因此可以检查CloudTrail记录,以查看哪个用户进行了创建资源的API调用。
有些人更喜欢使用标签来跟踪资源的所有权或用途。例如,使用标记来跟踪部门、项目或成本中心。
此外,请注意,资源可以由IAM用户、IAM角色(由用户承担,也可以通过CloudTrail进行跟踪(或其他AWS服务创建(例如亚马逊EC2自动缩放会自动启动EC2实例(。因此,在资源和创建它的"人"之间找到一对一的关系并不总是那么容易