CloudTrail - AWS Identitäts- und Zugriffsverwaltung
CloudTrail Struktur der Veranstaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail

Alle Aktionen, die von Produktanbietern mit temporärem delegiertem Zugriff ausgeführt werden, werden automatisch angemeldet AWS CloudTrail. Dies bietet vollständige Transparenz und Überprüfbarkeit der Aktivitäten der Produktanbieter in Ihrem AWS Konto. Sie können feststellen, welche Maßnahmen von den Produktanbietern ergriffen wurden, wann sie durchgeführt wurden und von welchem Konto des Produktanbieters sie ausgeführt wurden.

Damit Sie zwischen Aktionen Ihrer eigenen IAM-Principals und Aktionen von Produktanbietern mit delegiertem Zugriff unterscheiden können, enthalten CloudTrail Ereignisse ein neues Feld, das invokedByDelegate unter dem Element aufgerufen wird. userIdentity Dieses Feld enthält die AWS Konto-ID des Produktanbieters, sodass Sie alle delegierten Aktionen einfach filtern und überprüfen können.

CloudTrail Struktur der Veranstaltung

Das folgende Beispiel zeigt ein CloudTrail Ereignis für eine Aktion, die von einem Produktanbieter mithilfe von temporärem delegiertem Zugriff ausgeführt wurde:

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

Das invokedByDelegate Feld enthält die AWS Konto-ID des Produktanbieters, der die Aktion mit delegiertem Zugriff ausgeführt hat. In diesem Beispiel hat das Konto 444455556666 (der Produktanbieter) eine Aktion im Konto 111122223333 (das Kundenkonto) ausgeführt.