Я создал сценарий для создания учетных записей пользователей в AWS Organizations.
Теперь я пытаюсь автоматизировать удаление временных учетных записей пользователей за 30 минут?
Какие могут быть возможные решения? Я могу работать с RESTAPI, Lambda, CloudFormation.
Есть ручной процесс, но я пытаюсь предоставить пользователям пробный доступ на 30 минут.
Вы можете вызвать Lambda с журналами Cloudwatch.
Таким образом, вы можете активировать функцию AWS Lambda для удаления пользователя через 30 минут после обнаружения активности этого пользователя в журналах Cloudwatch (например, создание ресурса).
https://docs.aws.amazon.com/lambda/latest/dg/services-cloudwatchlogs.html
Если было невозможно определить действие пользователя в Cloudwatch, вы могли бы связать IAM -> Cloudtrail -> S3 -> Lambda, чтобы вызвать процедуру удаления. Это потребует немного больше усилий, поскольку ваша функция Lambda должна будет иметь возможность читать журнал Cloudtrail и идентифицировать пользователя.
AWS не предоставляет API для закрытия учетной записи AWS.
Единственный способ закрыть учетную запись - через веб-интерфейс пользователя.
Чтобы достичь желаемого, лучше всего сохранить доступным пул пустых учетных записей. При необходимости используйте один. По завершении используйте API-интерфейсы, чтобы очистить учетную запись и вернуть ее в пул.
Личный анекдот
По моему опыту, закрыть учетную запись было еще сложнее. Чтобы закрыть счет, открытый в организации, мне нужно было сделать следующее:
Ссылки: