问题描述
我敢肯定,与许多人一样,我们收到了一封来自亚马逊的电子邮件,内容如下:
We recently observed Signature Version 2 requests on an Amazon SES SMTP endpoint originating from your account.
有什么方法可以识别这些调用是什么,因为我们有多个 IAM 用户和大型代码库,但尚未能够追踪这些调用的来源。
我认为 CloudWatch/CloudTrail 应该可以做到这一点,但不知道如何做到这一点。
解决方法
来自AWS dev forum中的一个问题
如果您现有的 smtp 凭证是通过控制台创建的,则创建日期(在 IAM 控制台中可见)可以指示 Signature v2 的使用情况,因为在 2019 年 2 月之前通过 SES 控制台创建的 smtp 用户是 Signature v2 签名的。在此日期之后在 SES 控制台中创建的凭据使用 Signature v4 进行签名。
,您不能使用 CloudTrail 审核 SES 发送事件,因为 SES 仅向 CloudTrail 传送管理事件,如here 所述。
您不能使用 SES 事件发布,因为它不包含触发发送的请求详细信息。
如本 AWS forum thread 所述,据 AWS 代表称,他们正在研究一种跟踪 SigV2 使用情况的方法,但考虑到他们将在 10 天内开始限制 SigV2 请求,这并没有太大帮助。
因此,目前识别仍在使用 SigV2 的凭据的最佳方法是:
- 重新生成在 SES 控制台中创建的所有凭据
- 从所有可能使用 SES 的 IAM 凭证生成 SigV4 SES 凭证,并将它们与您实际使用的 SES 凭证进行比较。