Назад | Перейти на главную страницу

Как удалить временную учетную запись пользователя в AWS?

Я создал сценарий для создания учетных записей пользователей в AWS Organizations.

Теперь я пытаюсь автоматизировать удаление временных учетных записей пользователей за 30 минут?

Какие могут быть возможные решения? Я могу работать с RESTAPI, Lambda, CloudFormation.

Есть ручной процесс, но я пытаюсь предоставить пользователям пробный доступ на 30 минут.

Вы можете вызвать Lambda с журналами Cloudwatch.

Таким образом, вы можете активировать функцию AWS Lambda для удаления пользователя через 30 минут после обнаружения активности этого пользователя в журналах Cloudwatch (например, создание ресурса).

https://docs.aws.amazon.com/lambda/latest/dg/services-cloudwatchlogs.html

Если было невозможно определить действие пользователя в Cloudwatch, вы могли бы связать IAM -> Cloudtrail -> S3 -> Lambda, чтобы вызвать процедуру удаления. Это потребует немного больше усилий, поскольку ваша функция Lambda должна будет иметь возможность читать журнал Cloudtrail и идентифицировать пользователя.

AWS не предоставляет API для закрытия учетной записи AWS.

Единственный способ закрыть учетную запись - через веб-интерфейс пользователя.

Чтобы достичь желаемого, лучше всего сохранить доступным пул пустых учетных записей. При необходимости используйте один. По завершении используйте API-интерфейсы, чтобы очистить учетную запись и вернуть ее в пул.

Личный анекдот

По моему опыту, закрыть учетную запись было еще сложнее. Чтобы закрыть счет, открытый в организации, мне нужно было сделать следующее:

  1. Удалите аккаунт AWS из организации.
  2. Укажите номер кредитной карты для счета.
  3. Закройте аккаунт.

Ссылки: