「おそらく攻撃者が利用したのは、IAMユーザーのアクセスキー」とのことだが、CloudTrailはそのイベント(API)がどの手段(アクセスキー)で使われたか記載されてるので特定できるはず。推測ではなく確認するといいぞ。
---
AWSを不正利用された際の反省と教訓 - Qiita
https://qiita.com/JZ8xNeXY/items/1f31aa7c85742558709d
#bookmarks