Я провожу некоторую очистку учетной записи AWS и вижу, что многие роли, которые, как я почти уверен, не используются, не используются. В учетной записи используется множество сервисов, поэтому ручная проверка нецелесообразна.
Есть ли способ узнать, сколько раз используется конкретная роль AWS? И, если возможно, какие службы и / или инстансы его используют?
В настоящее время не существует метода, использующего SDK для интерфейса командной строки AWS, чтобы получить время последнего доступа к роли IAM. Я подтвердил это сегодня при поддержке AWS.
В настоящее время единственный способ - использовать Консоль управления AWS.
При выборе роли или пользователей проверьте вкладку «Советник по доступу». Вкладка Thaat предоставляет информацию о последних службах, к которым пользователь / роль обращался.
Если вы используете пользователя IAM с awscli, вы можете просто сделать: aws iam get-user
Что напечатает текущую информацию о пользователе IAM, например:
{
"User": {
"UserName": "vasco",
"PasswordLastUsed": "1999-01-01T00:00:00Z",
"CreateDate": "1999-01-01T00:00:00Z",
"UserId": "AFUIDGSDOGDOG",
"Path": "/",
"Arn": "arn:aws:iam::235534637458:user/vasco"
}
}
Для экземпляров ec2 я просто искал по имени роли в параметрах поиска ec2, и это мне помогло. Как видим, роль IAM отображается в описании экземпляра ec2. Также для других ресурсов мы можем отслеживать прикрепленную роль или нет. Таким образом, это приводит к тому, что роль должна содержать в названии несколько меток, указывающих на использование области видимости.
Итак, я отвечаю, что перед созданием ролей мы должны использовать некоторые правила именования для ролей, чтобы позже мы могли легко поддерживать эти созданные роли.