CloudTrail - AWS Identity and Access Management
Estructura de los eventos de CloudTrail

CloudTrail

Todas las acciones llevadas a cabo por los proveedores de productos mediante el acceso delegado temporal se registran automáticamente en AWS CloudTrail. Esto proporciona una visibilidad y una auditabilidad completas de la actividad del proveedor del producto en su cuenta de AWS. Puede identificar qué acciones llevaron a cabo los proveedores de productos, cuándo se produjeron y qué cuenta del proveedor del producto las efectuó.

Para ayudarlo a distinguir entre las acciones que llevan a cabo sus propias entidades principales de IAM y las que llevan a cabo los proveedores de productos con acceso delegado, los eventos de CloudTrail incluyen un nuevo campo denominado invokedByDelegate en el elemento userIdentity. Este campo contiene el ID de cuenta de AWS del proveedor del producto, lo que facilita el filtrado y la auditoría de todas las acciones delegadas.

Estructura de los eventos de CloudTrail

En el ejemplo siguiente se muestra un evento de CloudTrail para una acción llevada a cabo por un proveedor de productos que utiliza el acceso delegado temporal:

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

El campo invokedByDelegate contiene el ID de cuenta de AWS del proveedor del producto que llevó a cabo la acción mediante el acceso delegado. En este ejemplo, la cuenta 444455556666 (el proveedor del producto) llevó a cabo una acción en la cuenta 111122223333 (la cuenta del cliente).