AWS CloudTrail 出現 root 的 Log 訊息

2017-03-24 AWS

這幾天在玩 CloudTrail 這個 service 的時候看到 Log 裡面出現 EC2 DeleteNetworkInterface 的動作,但我都是用 IAM User 去操作,沒有使用 AWS Root account 去做事情才對。

 

然後在 AWS 官方一篇 issue 『My AWS CloudTrail logs show root credentials are being used to authenticate actions I didn’t initiate』提到說,如果使用像 Auto Scaling 或是 Elastic Load Balancing 會自動增減的服務就會使用 root 權限去執行,而 CloudTrail 就記錄到了 DeleteNetworkInterface 這個動作 (應該是在減少機器)

 

訊息會像這樣:

{

“eventVersion”: “1.02”,

“userIdentity”: {

“type”: “Root”,

“principalId”: “12345678912”,

“arn”: “arn:aws:iam::12345678912:root”,

“accountId”: “012345678912”,

“userName”: “foo”,

“invokedBy”: “elasticloadbalancing.amazonaws.com”

},

“eventTime”: “2015-11-12T04:31:44Z”,

“eventSource”: “ec2.amazonaws.com”,

“eventName”: “DeleteNetworkInterface”,

“awsRegion”: “ap-southeast-2”,

“sourceIPAddress”: “elasticloadbalancing.amazonaws.com”,

“userAgent”: “elasticloadbalancing.amazonaws.com”,

“errorCode”: “Client.InvalidParameterValue”,

“errorMessage”: “Network interface ‘en-abcd1234’ is currently in use.”,

“requestParameters”: {

“networkInterfaceId”: “en-abcd1234”

},

}

 

官方還提到了一個分辨的方式就是用 sourceIPAddress 和 userAgent 這兩個來區分,如果是 AWS service,出現的就會是 service domain name,非服務就會是操作者的來源 IP 跟 User-Agent,但這通常也是參考用啦,因為用戶端的資訊是不可信的。

 

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

彙整

分類

open all | close all

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱

%d 位部落客按了讚: