Pourquoi ne puis-je pas trouver le nom d'utilisateur qui a créé un volume EBS en recherchant dans les journaux d'événements CloudTrail ?

Brève description

Les journaux d'événements AWS CloudTrail CreateVolume ne sont pas disponibles pour les volumes EBS créés lors du lancement d'Amazon Elastic Compute Cloud (Amazon EC2).

Pour identifier le nom d'utilisateur qui a créé le volume EBS :

• Les volumes EBS créés manuellement peuvent utiliser l'ID de volume pour afficher les journaux d'événements CloudTrail pour CreateVolume.
• Les volumes EBS créés au cours du lancement d'EC2 peuvent utiliser l'ID d'instance EC2 pour afficher les journaux d'événements CloudTrail pour RunInstances.

Pour plus d'informations, consultez la section Affichage des événements CloudTrail dans la console CloudTrail.

Remarque : cela ne s'applique qu'aux volumes EBS qui ont été créés après l'activation d'AWS Config et de CloudTrail.

Solution

Déterminer si le volume EBS a été créé lors du lancement d'EC2 ou manuellement

1. Ouvrez la console Amazon EC2, développez Elastic Block Store, puis choisissez Volumes (Volumes).
2. Copiez l'ID du volume EBS.
3. Ouvrez la console AWS Config, puis choisissez Resources (Ressources).
4. Dans la liste déroulante Resource type (Type de ressources), sélectionnez AWS EC2 Volume.
5. Dans Resource identifier (Identifiant de ressources), collez l'ID de volume de l'étape 2. Ensuite, sélectionnez le bouton radio et choisissez Resource Timeline (Chronologie des ressources) pour ouvrir la chronologie de la ressource telle que capturée par AWS Config.
6. Dans Events (Événements), développez la section Configuration Change (Modification de la configuration). Ensuite, choisissez View full record (Afficher l'enregistrement complet).
7. Développez Relationships (Relations).
8. Si vous ne voyez pas un ID d'instance EC2, cela signifie que le volume EBS a été créé manuellement.
9. Si vous voyez un ID d'instance EC2, cela signifie que le volume EBS a été créé au cours du lancement d'EC2 ou associé par la suite. Copiez l'ID de l'instance EC2.

Rechercher le nom d'utilisateur qui a créé le volume EBS

Si le volume EBS a été créé manuellement, procédez comme suit :

1. Ouvrez la console CloudTrail, puis sélectionnez Event history (Historique des événements).
2. Dans Filter (Filtre), choisissez Ressource name (Nom de la ressource).
3. Dans Enter resource name (Saisir le nom de la ressource), collez l'ID de votre volume EBS, puis appuyez sur Entrée depuis votre appareil.
4. Choisissez l'Event (Événement) pour développer et afficher l'enregistrement complet de l'événement. Notez l'arn et l'userName pour identifier l'utilisateur qui a créé manuellement le volume EBS.

Si le volume EBS a été créé lors du lancement d'EC2, procédez comme suit :

1. Ouvrez la console CloudTrail, puis sélectionnez Event history (Historique des événements).
2. Dans Filter (Filtre), choisissez Ressource name (Nom de la ressource).
3. Dans Enter resource name (Saisir le nom de la ressource), collez l'ID d'instance EC2 que vous avez copié à partir de la console AWS Config. Appuyez ensuite sur Entrée depuis votre appareil.
4. Choisissez l'Event (Événement) pour développer et afficher l'enregistrement complet de l'événement. Notez l'arn et l'userName pour identifier l'utilisateur qui a lancé l'instance EC2.

Remarque : vous ne pouvez pas supprimer un volume EBS si l'attribut DeleteonTermination a la valeur false. Pour plus d'informations, consultez la section Préserver les volumes Amazon EBS à la résiliation de l'instance.