Warum kann ich den Benutzernamen, der ein EBS-Volume erstellt hat, nicht finden, indem ich die CloudTrail-Ereignisprotokolle durchsuche?

Kurzbeschreibung

AWS CloudTrail-Ereignisprotokolle CreateVolume sind nicht für EBS-Volumes verfügbar, die während eines Starts von Amazon Elastic Compute Cloud (Amazon EC2) erstellt wurden.

So ermitteln Sie den Benutzernamen, mit dem das EBS-Volume erstellt wurde:

• Manuell erstellte EBS-Volumes können die Volume-ID verwenden, um CloudTrail-Ereignisprotokolle für CreateVolume einzusehen.
• EBS-Volumes, die während des EC2-Starts erstellt wurden, können die EC2-Instance-ID verwenden, um CloudTrail-Ereignisprotokolle für RunInstances einzusehen.

Weitere Informationen finden Sie unter CloudTrail-Ereignisse in der CloudTrail-Konsole anzeigen.

**Hinweis:**Dies gilt nur für EBS-Volumes, die nach der Aktivierung von AWS Config und CloudTrail erstellt wurden.

Behebung

Stellen Sie fest, ob das EBS-Volume beim EC2-Start oder manuell erstellt wurde

1. Öffnen Sie die Amazon EC2-Konsole, erweitern Sie Elastic Block Store und wählen Sie dann Volumes.
2. Kopieren Sie die Volume-ID Ihres EBS-Volumes.
3. Öffnen Sie die AWS Config-Konsole und wählen Sie dann Ressourcen.
4. Wählen Sie in der Dropdown-Liste Ressourcentyp AWS EC2 Volume.
5. Fügen Sie in das Feld Ressourcenerkennung die Volume-ID aus **Schritt 2 ein.**Wählen Sie dann das Optionsfeld und dann Resource Timeline aus, um die Zeitleiste der Ressource zu öffnen, wie sie von AWS Config erfasst wurde.
6. Erweitern Sie unter Ereignisse die Konfigurationsänderung. Wählen Sie dann Vollständigen Datensatz anzeigen.
7. Erweitern Sie Beziehungen.
8. Wenn Sie keine EC2-Instance-ID sehen, bedeutet dies, dass Ihr EBS-Volume manuell erstellt wurde.
9. Wenn Sie eine EC2-Instance-ID sehen, bedeutet dies, dass Ihr EBS-Volume beim EC2-Start erstellt oder anschließend angehängt wurde. Kopieren Sie die EC2 Instance ID.

Suchen Sie den Benutzernamen, der das EBS-Volume erstellt hat

Wenn das EBS-Volume manuell erstellt wurde, gehen Sie wie folgt vor:

1. Öffnen Sie die CloudTrail-Konsole und wählen Sie dann Ereignisverlauf.
2. Wählen Sie unter Filter den Ressourcennamen.
3. Fügen Sie in das Feld Ressourcennamen eingeben die Volume-ID Ihres EBS-Volumes ein und drücken Sie dann auf Ihrem Gerät die Eingabetaste.
4. Wählen Sie das Ereignis, um es zu erweitern und den vollständigen Ereignisdatensatz anzuzeigen. Notieren Sie sich den arnund den userName, um den Benutzer zu identifizieren, der das EBS-Volume manuell erstellt hat.

Wenn das EBS-Volume beim EC2-Start erstellt wurde, gehen Sie wie folgt vor:

1. Öffnen Sie die CloudTrail-Konsole und wählen Sie dann Ereignisverlauf.
2. Wählen Sie unter Filter den Ressourcennamen.
3. Fügen Sie in das Feld Ressourcennamen eingeben die EC2-Instance-ID ein, die Sie aus der AWS Config-Konsole kopiert haben. Drücken Sie dann auf Ihrem Gerät die Eingabetaste.
4. Wählen Sie das Ereignis, um es zu erweitern und den vollständigen Ereignisdatensatz anzuzeigen. Notieren Sie sich den arn und den userName, um den Benutzer zu identifizieren, der die EC2-Instance gestartet hat.

**Hinweis:**Sie können ein EBS-Volume nicht löschen, wenn das DeleteOnTermination-Attribut auf false gesetzt ist. Weitere Informationen finden Sie unter Beibehaltung von Amazon EBS-Volumes bei Instance-Terminierung.