AWS: определение источника использования ключей доступа

В процессе попытки добиться Хорошо продуманная структура, одна из актуальных проблем, требующих решения в Столб безопасности Это вопрос, связанный со следующим вопросом: «Как вы управляете ключами?»

Нам удалось удалить несколько неиспользуемых ключей и переключиться на экземпляры EC2 на основе ролей для других замен ключей доступа, но у нас все еще есть 3 ключа, для которых мы не смогли определить, откуда они используются, в качестве «последнего использования». В разделе отображается только общая фраза, например «2018-05-08 01:04 ADT с ec2 в us-west-1», но теперь есть способ получить более глубокое понимание того, откуда в EC2 поступают запросы.

Наша служба поддержки давно заявила, что CloudTrail может помочь, но они не предоставили дополнительных отзывов о том, как его использовать и / или настроить CloudTrail, чтобы получить дополнительную информацию об использовании ключей доступа.

Действительно ли возможно узнать, откуда используются эти «осиротевшие» ключи? Я знаю, что их неактивность может помочь, поскольку что-то перестанет работать, но меня беспокоит, что у меня может не быть надлежащих сигналов тревоги, чтобы определить, что пошло не так, поэтому мне не очень нравится этот подход.

Редактировать:

Пример из данных CloudTrail в CloudWatchLogs (конфиденциальные данные раскрыты):

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJOJXJKHCAFHDDAOR2",
        "arn": "arn:aws:iam::00000000000:user/myUser",
        "accountId": "078472214496",
        "accessKeyId": "AKIAIHS2WHR5REZYJ52Q",
        "userName": "myUser"
    },
    "eventTime": "2018-04-24T17:05:15Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "DescribeSecurityGroups",
    "awsRegion": "eu-central-1",
    "sourceIPAddress": "34.204.73.91",
    "userAgent": "Ruby",
    "requestParameters": {
        "securityGroupSet": {},
        "securityGroupIdSet": {},
        "filterSet": {}
    },
    "responseElements": null,
    "requestID": "42d48dd9-7eda-4631-bff5-47c81233a782",
    "eventID": "805eb3fb-d5bb-4fa7-804d-2a9cd920c0c0",
    "eventType": "AwsApiCall",
    "recipientAccountId": "00000000000"
}

Об этом событии:

• Регион - eu-central-1 и источник ec2.amazonaws.com, но у него нет ресурсов EC2 в этом регионе, похоже, что что-то (на основе Ruby) запрашивает существующие ресурсы (SecGroups, VPC, тома ... почти все).
• Исходный IP: 34.204.73.91, нам не принадлежит

Редактировать 2:

Обнаружив в IAM, я узнал следующее о последнем использовании:

2018-05-08 14:33 ADT with cloudwatch in us-west-1a

Но в CloudTrail CloudWatchLogs нет событий, связанных с CloudWatch. Есть ли события, которые не регистрируются через CloudTrail?