我正在寻找一种可靠的方法来跨 100 多个 AWS 账户运行 IAM 凭证报告。我已经能够在执行时使用 awsume 和 awscli 循环浏览帐户来完成其中一些操作,但这是一件苦差事。试图找到一种更可靠的方法来做到这一点。其想法是定期获取超过 90 天未使用的帐户列表,以便用户通知和删除。短暂性脑缺血发作。
我已经用 PowerShell 脚本做了类似的事情(抱歉,无法分享)——本质上你需要编写一些代码来执行以下操作(针对每个帐户):
GetUserPasswordLastUsedListAccessKeysGetAccessKeyLastUsedAccessKeyLastUsedPasswordLastUsedAccessKeyLastUsed如果账户位于 aws 组织中,您还可以编写脚本遍历组织内的每个账户(或者同样轻松地使用文本/CSV 文件等)。
亚马逊文档:
具体如何编写此内容对您来说有点特定(您使用什么操作系统、您知道什么编程/脚本语言、您如何管理凭据等)。
IAM 访问分析器会生成您的 AWS 组织和账户中授予的未使用访问权限的结果。当您创建未使用的访问分析器时,IAM 访问分析器会持续监控您的 AWS 组织和账户中的所有 IAM 角色和用户,并生成未使用访问的结果。