Проблема с использованием интерфейса командной строки AWS

В нашем сценарии у нас ранее были некоторые ключи AWS. Интерфейс IAM показывает/не показывает его использование, но сотрудник смог загрузить ресурсы. Может ли кто-нибудь посоветовать, как проверить, ошибается ли интерфейс или они, возможно, не использовали эти учетные данные?

Запросы ATHENA, которые меня пробовали

ВЫБЕРИТЕ eventTime, eventName, userIdentity.principalId, eventSource
ИЗ афины-стола
ГДЕ useridentity.accesskeyid как «AKIAIOSFODNN7EXAMPLE»

ВЫБРАТЬ *
ИЗ афины-стола
ГДЕ useridentity.type = 'IAMUser'
AND useridentity.username LIKE 'Алиса';

В консоли IAM последнее действие отображается как «Никогда».

Мы удалим этого пользователя, но перед этим я хотел посмотреть, как она использует учетную запись без входа в систему. Есть ли лучший способ узнать это?

Отчет об учетных данных должен быть правильным способом исследовать это на облаке.

Вы можете заставить пользователя проверить, что у него есть в ~/.aws/config и ~/.aws/учетные данные чтобы подтвердить, какие учетные данные они используют.

Это выглядит так:

[имя профиля]
aws_access_key_id = КОРОТКАЯ СТРОКА
aws_secret_access_key = ДЛИННАЯ СТРОКА ИДЕТ ЗДЕСЬ С БОЛЬШИМ СИМВОЛОМ

Используйте отчет об учетных данных, чтобы узнать, когда пользователь IAM в последний раз использовал ключ доступа. Если это выглядит неправильно, вам может потребоваться покопаться в журналах CloudTrail, чтобы узнать, когда и где используется ключ.

Более фанатичным подходом было бы отозвать ключи доступа, пока кто-нибудь не накричит на вас: D