是否可以为自动资源标记创建AWS IAM策略?
我希望设置不同的AWS标识和访问管理(IAM)用户,以便在该IAM用户创建AWS资源时,自动为该资源分配特定的标记。
例如:如果IAM user F创建一个新的EC2实例,该实例将自动标记为user:MrF。是否可以构建一个自定义策略来执行此操作?
共有3个答案
一个更好的解决方案(速度更快,而且我相信比通过CloudTrail日志解析更便宜)是使用CloudTrail,但要与CloudWatch事件结合使用。
这是图表中描述的基本概念
本文详细介绍了实现方法:https://blogs.aws.amazon.com/security/post/Tx150Z810KS4ZEC/How-to-Automatically-Tag-Amazon-EC2-Resources-in-Response-to-API-Events
本文还介绍了如何设置IAM策略,该策略只允许资源的创建者对其执行某些操作(如启动/停止、描述、编辑、终止)。
当直接使用AWS应用编程接口时,这是不可用的(即没有办法命令所有AWS应用编程接口代表您自动标记新资源),但是,根据您的用例的具体情况,您可以通过将创建用户与通过事后标记的资源:
您可以激活AWS CloudTrail,它记录您帐户的AWS API调用,并向您发送日志文件,并提供您想要的信息:
记录的信息包括API调用方的标识、API调用的时间、API调用方的源IP地址、请求参数以及AWS服务返回的响应元素。
基于这些信息,您的专用服务可以分析日志,并根据登录用户和通过resp创建的资源对所有资源应用事后标记。API操作。请看我对哪个用户启动了EC2实例的回答?当沿着这条路线走时,需要考虑一些警告/约束。
我的公司GorillaStack有一个开源lambda函数,可以做到这一点。
函数“侦听”要交付的CloudTrail日志,并用创建资源的用户的ARN标记创建的资源。它还支持跨帐户标记,用于中央帐户为其他帐户收集CloudTrail日志的情况。
- Github:https://github.com/GorillaStack/auto-tag
- 博客文章:http://blog.gorillastack.com/gorillastack-presents-auto-tag
它在2015年的re: Invent大会上大声疾呼,这很酷:)
希望有帮助!
-
我正在写入一个CSV文件,并使用来完成。我有一个bean,它是我的类,我也有一个资源属性,在这里我提供了用于写出项的文件名。 是否可以将日期和时间附加到文件名? 现在我告诉它写入一个名为report.csv的文件,而不是我希望它写入一个名为report-7-2-2014-16-03.csv的文件 以下是作者的XML配置
-
假设AWS堆栈是使用CloudFormation创建的。现在,其中一种资源在云层形成之外进行了修改。 1) 有没有可能让CloudFormation专门创建这些资源?根据我的理解,我们不能这样做,因为CloudFormation不能识别差异,因此不能创建修改后的资源。我的观察正确吗? 2) 此外,如果在CloudFormation之外进行了修改,我需要哪些选项才能将堆栈恢复到其原始状态?
-
有没有一种方法可以将标签添加到现有的CloudFormation堆栈中?在更新堆栈操作中,可以指定新的标记,但是不需要更新(就像AWS中的任何其他资源一样)就可以吗?
-
问题内容: 让我们考虑以下情况。有一个,有一个。子窗格将添加到父窗格。考虑到可以动态地添加和删除子窗格而没有任何限制和顺序的情况下,如何才能仅在可见子窗格的情况下使parentPane可见。当然childPane的可见状态也可以随时更改。是否可以创建动态Bindings.OR,以便我可以动态向其添加/删除子可见属性?如果是,那怎么办?如果没有,那么在这种情况下使用什么解决方案? 问题答案: 您可以
-
问题内容: 我们正在使用加载属性信息。我们的属性文件已经变得非常庞大,我们正在考虑将主属性文件分成几个子模块。有可能实现这一目标吗? 让我知道? 问题答案: 首先,我想知道为什么您选择了。给出问题的表达方式后,您似乎不必关心本地化/国际化或捆绑文件继承。 有了它,它就变得异常容易,因为它实现了反过来又提供了一种合并另一张地图的方法。开球示例: 如果您真的坚持使用,则最好的选择是创建一个自定义,在该
-
问题内容: 例如,当我创建一个新类时,我得到以下信息: 这样放置支架时,我 讨厌 它。有没有一种方法可以使它创建如下内容: 问题答案: 只需遵循以下步骤: 导航 导航 选择以下 语言:Java 分类:大括号 在“类声明,方法声明等”中 大括号位置:新行