Tivemos uma situação recente em que um endereço IP elástico atribuído a um servidor de produção foi misteriosamente desassociado desse servidor. Nós tivemos essa mesma coisa acontecendo no passado para outros servidores (felizmente, não-produção). Temos vários administradores no console, mas ninguém está assumindo o erro. Existe alguma maneira de auditar as atividades do console da AWS?
edit: AWS has since released CloudTrail, which satisfies this need.
Não. Se você precisar de auditoria, provavelmente precisará incluir seu próprio frontend nas APIs da AWS. Se você pagou o suporte, o may poderá analisar seus logs internos, não sei.
Uma coisa a notar é que uma instância não-VPC EC2 que foi interrompida perderá seu EIP. As instâncias de VPC retêm sua associação (e seu IP interno também) durante as paralisações.
Ainda não usei o serviço, mas parece que há um serviço chamado CloudTrail para registrar a atividade da API da AWS:
Dependendo da sua região, eu concordo com o forforf e recomendo verificar o CloudTrail. Você também pode querer revisar sua postura de segurança atual na AWS como um todo.
Tivemos o mesmo problema com mais de 20 administradores na AWS. Havia muitos cozinheiros na cozinha. Em seguida, decidimos dar acesso ao SU aos nossos dois arquitetos corporativos e, em seguida, segmentamos o acesso no IAM com base na função de administradores. Dev, Operações, Engenharia, Segurança, etc. Dessa forma, se houvesse uma mudança feita, poderíamos, pelo menos, descobrir quem fez a mudança entre 1-2 pessoas, em vez de 20 ...
Também implementamos o Chef, o que ajudou nas auditorias, etc. Depende do seu ambiente, necessidades, etc., entretanto.
Para sua situação - se fosse eu ... eu reuniria os IPs de todas as minhas instâncias e clicaria em Elastic Network Interfaces no console da AWS. Pesquise por ENIs através desses endereços IP. Clique em cada ENI e mude o comportamento de terminação na terminação para False. Em seguida, vá para o IAM e negue as permissões para o anexo e o desligamento do EIP a vários administradores.
Eu também ativaria a proteção de finalização para cada instância. Se o seu em um ambiente VPC qualquer IP interno ou IP associado a esse assunto não será alterado na instância, pare ou reinicie ... se a instância estiver em ec2 classic, isso ocorrerá.