共有 AWS アカウントで「誰が作ったか」が分からない問題と、作者特定ツールの話

• URL: https://blog.cloudnative.co.jp/articles/3843617f2dbe800f
• 日付: 2026-06-20
• Tier: Tier 3
• 要旨: CSPM検知結果からAsanaタスク自動化時に、CloudTrail・AWS Config検索で作者特定。account-map（SSM Parameter Store）で個人/チーム共有アカウント分類。tag→account-map判定→CloudTrail検索の優先順位。

詳細

Lambda 2段構成(一覧取得→同期ワーカー)+SQS並列。author resolver が複数情報源を順試(created_by tag→account-map→CloudTrail/Config)。team アカウントはクロスアカウント AssumeRole で読み取り。CloudTrail ResourceName で検索、見つからなければ resourceCreationTime で前後2時間に絞り込み。CloudFormation タグでスタック名経由の検索も試行。