Suivi des tâches privilégiées dans AWS CloudTrail - AWS Identity and Access Management

Suivi des tâches privilégiées dans AWS CloudTrail

Le compte de gestion AWS Organizations ou un compte d’administrateur délégué pour IAM peut effectuer certaines tâches de l’utilisateur racine sur les comptes membres en utilisant un accès root à court terme. Les sessions privilégiées de courte durée vous fournissent des informations d’identification temporaires que vous pouvez définir pour effectuer des actions privilégiées sur un compte membre de votre organisation. Vous pouvez utiliser les étapes suivantes pour identifier les actions effectuées par le compte de gestion ou un administrateur délégué au cours de la session sts:AssumeRoot.

Note

Le point de terminaison global n’est pas pris en charge pour sts:AssumeRoot. CloudTrail journalise les événements ConsoleLogin dans la région spécifiée pour le point de terminaison.

Pour suivre des actions effectuées par une session privilégiée dans les journaux CloudTrail

  1. Recherchez l’événement AssumeRoot dans vos journaux CloudTrail. Cet événement est généré lorsque votre compte de gestion ou l’administrateur délégué d’IAM obtient un ensemble d’informations d’identification à court terme de sts:AssumeRoot.

    Dans l’exemple suivant, l’événement CloudTrail pour AssumeRoot est journalisé dans le champ eventName.

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1",
        "arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1",
        "accountId": "111111111111",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111111111111:role/John",
                "accountId": "111111111111",
                "userName": "Admin2"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2024-10-25T20:45:28Z",
                "mfaAuthenticated": "false"
            },
            "assumedRoot": "true"
        }
    },
    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
        }
    }
}

    Pour plus d’informations, consultez Obtention et consultation des fichiers journaux de CloudTrail dans le Guide de l’utilisateur AWS CloudTrail.

  2. Dans le journal des événements de CloudTrail, localisez le targetPrincipal qui spécifie le compte membre sur lequel les actions ont été effectuées, et le accessKeyId qui est unique à la session AssumeRoot.

    Dans l’exemple suivant, le targetPrincipal est 222222222222 et le accessKeyId est ASIAIOSFODNN7EXAMPLE.

    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
    }
}

  3. Dans les journaux CloudTrail du principal cible, recherchez l’ID de clé d’accès correspondant à la valeur accessKeyId de l’événement AssumeRoot. Utilisez les valeurs des champs eventName pour déterminer les tâches privilégiées effectuées pendant la session AssumeRoot. Plusieurs tâches privilégiées peuvent être effectuées au cours d’une même session. La durée maximale de la session AssumeRoot est de 900 secondes (15 minutes).

    Dans l’exemple suivant, le compte de gestion ou l’administrateur délégué a supprimé la politique basée sur les ressources pour un compartiment Amazon S3.

    {
    "eventVersion": "1.10",
    "userIdentity": {
        "type": "Root",
        "principalId": "222222222222",
        "arn": "arn:aws:iam::222222222222:root",
        "accountId": "222222222222",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2024-10-25T20:52:11Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-10-25T20:53:47Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "DeleteBucketPolicy",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",
    "requestParameters": {
        "bucketName": "resource-policy-John",
        "Host": "resource-policy-John.s3.amazonaws.com",
        "policy": ""
    },
    "responseElements": null,
    "requestID": "1234567890abcdef0",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "readOnly": false,
    "resources": [
        {
            "accountId": "222222222222",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::resource-policy-John"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "222222222222",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "resource-policy-John.s3.amazonaws.com"
    }
}