AWS: identificando origem de uso das chaves de acesso

No processo de tentar alcançar uma Estrutura Bem Arquitetada , um dos problemas relevantes para remediar o Pilar de segurança é aquele relacionado à seguinte pergunta: "Como você está gerenciando chaves? "

Conseguimos excluir várias chaves não usadas e mudamos para instâncias EC2 baseadas em função para outras substituições de chaves de acesso, mas ainda temos três chaves para as quais não conseguimos identificar de onde elas estão sendo usadas. A seção "Última utilização" mostra apenas uma frase genérica, como "2018-05-08 01:04 ADT com ec2 in us-west-1", mas agora existe uma maneira de obter uma percepção mais profunda de onde no EC2 as solicitações vêm.

Nosso provedor de suporte afirmou há muito tempo que o CloudTrail pode ajudar, mas não forneceu mais feedback sobre como usar e / ou configure o CloudTrail para obter mais informações sobre os detalhes de uso das chaves de acesso.

É realmente possível descobrir de onde essas chaves "órfãs" estão sendo usadas? Estou ciente de que torná-los inativos pode ajudar, já que algo iria parar de funcionar, mas estou preocupado que eu possa não ter os alarmes apropriados para detectar o que deu errado, então eu não gosto muito dessa abordagem.

Editar:

Exemplo de dados do CloudTrail em CloudWatchLogs (dados confidenciais dauscated):

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJOJXJKHCAFHDDAOR2",
        "arn": "arn:aws:iam::00000000000:user/myUser",
        "accountId": "078472214496",
        "accessKeyId": "AKIAIHS2WHR5REZYJ52Q",
        "userName": "myUser"
    },
    "eventTime": "2018-04-24T17:05:15Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "DescribeSecurityGroups",
    "awsRegion": "eu-central-1",
    "sourceIPAddress": "34.204.73.91",
    "userAgent": "Ruby",
    "requestParameters": {
        "securityGroupSet": {},
        "securityGroupIdSet": {},
        "filterSet": {}
    },
    "responseElements": null,
    "requestID": "42d48dd9-7eda-4631-bff5-47c81233a782",
    "eventID": "805eb3fb-d5bb-4fa7-804d-2a9cd920c0c0",
    "eventType": "AwsApiCall",
    "recipientAccountId": "00000000000"
}

Coisas sobre esse evento:

• A região é eu-central-1 e a fonte ec2.amazonaws.com, mas não tem recursos EC2 nessa região, parece que alguma coisa (baseada em Ruby) está procurando por recursos existentes (SecGroups, VPC, volumes ... quase tudo ).
• IP de origem: 34.204.73.91, não nos prejudicando

Editar 2 :

Encontrado no IAM Descobri isso sobre o último uso:

2018-05-08 14:33 ADT with cloudwatch in us-west-1a

Mas não há eventos relacionados ao CloudWatch nos CloudWatchLogs do CloudTrail. Existem eventos não registrados via CloudTrail?