我的整个团队都通过联合登录访问一个AWS账户。除我的团队外,只有管理员(root用户)有权访问此帐户。但是root用户仅用于管理目的。
我们所有人都通过基于SAML的SSO登录到AWS控制台。 AWS控制台的导航栏将用户信息显示为:
联合登录:TEAM-NAME/[email protected]
帐户:1234-5678-1234
因为它是一个帐户,所以所有联合用户都使用该帐户ID。但是电子邮件是他们自己的。另外,单击导航栏中的“我的帐户”链接后,帐户名称显示为
假定角色/团队名称/[email protected]
我的项目的一部分是确定某些AWS资源的创建者。现在,假定某个联合用户创建了一个存储桶。我可以作为另一个联盟用户来跟踪谁(电子邮件)创建了该存储桶吗?那其他类型的资源(不只是s3存储桶)呢?
您可以使用Amazon Cloud Trail进行跟踪。但是,作为联盟用户,您必须确保您具有Amazon Cloud Trail访问权限。拥有Cloud Trail访问权限后,您可以使用Resource Name过滤器过滤存储桶名称。