cloudtracker 2.1.4

CloudTracker通过将CloudTrail日志与当前IAM策略进行比较，帮助您找到拥有过多特权的IAM用户和角色。

简介文章：https://duo.com/blog/introducting cloudtracker an aws cloudtrail log analyzer

本文档将描述使用Athena的设置以及如何使用该工具。CloudTracker不再需要ElasticSearch，但是如果您想将CloudTracker与ElasticSearch一起使用，请参见ElasticSearch的安装和接收。

设置

步骤1：设置CloudTracker

python3 -m venv ./venv && source venv/bin/activate
pip install cloudtracker

注意：要使用ElasticSearch支持进行安装，请参见ElasticSearch文档

步骤2：下载IAM数据

使用aws cli下载帐户的iam数据副本：

mkdir -p account-data
aws iam get-account-authorization-details > account-data/demo_iam.json

步骤3：配置CloudTracker

创建一个config.yaml文件，其内容类似于：

athena:
  s3_bucket: my_log_bucket
  path: my_prefix
accounts:
  - name: demo
    id: 111111111111
    iam: account-data/demo_iam.json

这假设您的cloudtrail日志位于s3://my-log-bucket/my-prefix/awslogs/111111111/cloudtrail/ 如果没有前缀，请将"我的前缀"设置为"代码"。

步骤4：运行CloudTracker

cloudtracker使用boto并假定它可以在环境变量中访问aws凭据，这可以通过使用aws vault来实现。

对于包含cloudtrail日志的s3存储桶，您需要arn:aws:iam：：aws:policy/amazonathenafullaccess以及s3:getobject和s3:listbucket特权。

在aws保险库环境中运行（或为aws会话设置环境变量）后，可以运行：

cloudtracker --account demo --list users

这将执行大约一分钟的所有初始设置。后续通话将更快。

清理

cloudtracker当前不会在自身之后进行清理，因此查询结果会留在默认bucket中aws-athena-query-results-account\u id-region

如果您想消除cloudtracker的所有迹象，请从该bucket中删除查询结果，并在athena中运行drop database cloudtracker cascade

示例用法

列出参与者

CloudTracker提供了命令行选项来列出帐户中的用户和角色。例如：

$ cloudtracker --account demo --list users --start 2018-01-01
  alice
- bob
  charlie

在本例中，从iam信息中获取用户列表，然后从cloudtrail日志中发现，用户"bob"自2018年1月1日以来没有被使用的记录，因此cloudtracker通过在用户前面加上"-"来建议用户删除。

注意，并非所有aws活动都存储在cloudtrail日志中。具体来说，数据级事件，如读取和写入s3对象、放置cloudwatch度量等等。因此，有可能"bob"已处于活动状态，但仅限于未记录在cloudtrail中的操作。还请注意，您可能仍希望保留不活动的用户或角色。例如，您可能有一个角色，在年度任务期间每年仅使用一次。因此，您应该将此输出用作指导，但不应总是用作说明。

您也可以列出角色。

$ cloudtracker --account demo --list roles --start 2018-01-01
  admin

列出参与者的操作

CloudTracker的主要目的是查看参与者（用户和角色）发出的API调用。假设alice对其用户具有securityaditor权限，这将授予她列表和描述资源元数据的能力，以及关联资源的能力。我们可以看到她的行为：

cloudtracker --account demo --user alice
...
  cloudwatch:describealarmhistory
  cloudwatch:describealarms
- cloudwatch:describealarmsformetric
- cloudwatch:getdashboard
? cloudwatch:getmetricdata
...
+ s3:createbucket
...

将显示许多操作，其中许多是未使用的，因为有一千多个aws api，大多数人倾向于只使用少数。在上面的片段中，我们可以请注意，她已经调用了describealarmhistory和describealarms。即使拥有这些权限，她也从未调用过describealarmsformetric或getdashboard，而且由于该调用未记录在cloudtrail中，因此她是否调用过getmetricdata。接下来我注意到她对createbucket进行了一个调用，但没有权限。如果参与者先前拥有某个操作的权限并使用了这些权限，但这些权限被剥夺，则可能发生这种情况。错误会被过滤掉，因此如果参与者打了一个电话但被拒绝，它将不会显示为已使用。

由于可能有许多未使用或未知的操作，我们可以将其筛选为：

cloudtracker --account demo --user alice --show-used
Getting info on alice, user created 2017-09-02T18:02:14Z
  cloudwatch:describealarmhistory
  cloudwatch:describealarms
+ s3:createbucket
  sts:assumerole

我们可以为角色做同样的事情。例如：

cloudtracker --account demo --role admin --show-used
Getting info for role admin
  s3:createbucket
  iam:createuser

输出说明

cloudtracker显示授予与使用的权限的差异。符号的含义如下：

• 没有符号表示使用了此特权，请保持原样。
• -减号表示特权已被授予，但未被使用，因此您应将其删除。
<代码> >问号表示已授予特权，但由于未记录在cloudtrail中，因此无法确定是否使用了该特权。
• +加号表示特权未被授予，但已被使用。唯一可能的方法是，如果以前授予、使用过该特权，然后将其删除，则您可能希望重新添加该特权。

高级功能（当前仅支持弹性搜索）

CloudTracker的Athena配置尚不支持此功能。

您可能知道alice可以担任admin角色，所以让我们看看她在那里使用--destrole参数做了什么：

python3 -m venv ./venv && source venv/bin/activate
pip install cloudtracker

python3 -m venv ./venv && source venv/bin/activate
pip install cloudtracker

python3 -m venv ./venv && source venv/bin/activate
pip install cloudtracker

python3 -m venv ./venv && source venv/bin/activate
pip install cloudtracker