J'ai créé un script pour créer des comptes utilisateurs sous AWS Organizations.
Maintenant, j'essaie d'automatiser la suppression des comptes utilisateurs temporaires en 30 minutes ?
Quelles pourraient être les solutions possibles ? Je peux travailler sur les RESTAPIs, Lambda, CloudFormation.
Le processus manuel existe mais j'essaie de donner un accès d'essai aux utilisateurs pour 30 minutes.
Vous pouvez invoquer Lambda avec les journaux de Cloudwatch.
Ainsi, vous pourriez déclencher une fonction AWS Lambda pour supprimer l'utilisateur 30 minutes après qu'une activité de cet utilisateur a été détectée dans les journaux de Cloudwatch (par exemple la création d'une ressource).
https://docs.aws.amazon.com/lambda/latest/dg/services-cloudwatchlogs.html
S'il n'était pas possible d'identifier une action utilisateur dans Cloudwatch, vous pourriez enchaîner IAM -> Cloudtrail -> S3 -> Lambda pour invoquer la routine de suppression. Cela impliquerait un peu plus d'efforts, dans la mesure où votre fonction Lambda devrait être capable de lire le journal Cloudtrail et d'identifier l'utilisateur.
AWS ne fournit pas d'API pour fermer un compte AWS.
Le seul moyen de fermer un compte est de passer par l'interface utilisateur web.
Pour obtenir ce que vous voulez, la solution la plus proche serait de garder à disposition un pool de comptes vides. Utilisez-en un en cas de besoin. Lorsque vous avez terminé, utilisez les API pour vider le compte et le remettre dans le pool.
Anecdote personnelle
D'après mon expérience, la fermeture d'un compte était encore plus compliquée que cela. Pour fermer un compte ouvert sous une organisation, je devais procéder comme suit :
Références :
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
