Как пометить экземпляры и ресурсы ec2 тем пользователем IAM, который их создал?

Question

Некоторое время я использовал облачную информацию и лямбда-скрипт для маркировки экземпляров EC2, их томов EBS и сетевых интерфейсов с пользователем IAM, который их создал. Есть ли лучший способ сделать это автоматически с AWS?

Answer 1

AWS не поддерживает связь между ресурсами и пользователями, которые их создают.

Если у пользователя есть достаточные разрешения для создания ресурсов в учетной записи, то любые созданные ресурсы связаны с учетной записью AWS. а не пользователь, который их создал.

Один из способов обнаружить такую ​​связь - использовать AWS CloudTrail записей, поскольку они ссылаются как на ресурсы, задействованные в вызовах API, так и на IAM. объект (пользователь, роль и т. д. c), который вызвал вызов API.

Итак, теоретически вы можете:

• Создать Правило событий Amazon CloudWatch для запуска AWS лямбда-функции при возникновении новых событий CloudTrail
• AWS лямбда-функция может посмотреть на событие, определить его интерес (например, был создан ресурс) ), а затем извлеките информацию о пользователе и добавьте ее в тег

. Она может стать немного сложной, например, запросы от IAM Roles associat Он работал с экземплярами Amazon EC2, где трудно связать вызовы API с «пользователем»

Answer 2

К сожалению, AWS не поддерживает автоматическую пометку ресурсов основными тегами IAM. Вы должны разработать свое собственное решение, как описано в предыдущем ответе. Тем не менее, вы можете найти несколько проектов на Github. Я поддерживаю следующий проект, который применяет основные теги IAM и теги сеанса к вновь создаваемым ресурсам.

https://github.com/erhanux/aws-tags