Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Suivez les tâches privilégiées dans AWS CloudTrail Le compte AWS Organizations de gestion ou un compte d'administrateur délégué pour IAM peut effectuer certaines tâches d'utilisateur root sur les comptes membres en utilisant un accès root à court terme. Les sessions privilégiées de courte durée vous fournissent des informations d’identification temporaires que vous pouvez [définir pour effectuer des actions privilégiées](id_root-user-privileged-task.md) sur un compte membre de votre organisation. Vous pouvez utiliser les étapes suivantes pour identifier les actions effectuées par le compte de gestion ou un administrateur délégué au cours de la session [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html). **Note** Le point de terminaison global n'est pas pris en charge pour`sts:AssumeRoot`. CloudTrail enregistre les `ConsoleLogin` événements dans la région spécifiée pour le point de terminaison. **Pour suivre les actions effectuées par une session privilégiée dans les CloudTrail journaux** 1. Trouvez l'`AssumeRoot`événement dans vos CloudTrail journaux. Cet événement est généré lorsque votre compte de gestion ou l’administrateur délégué d’IAM obtient un ensemble d’informations d’identification à court terme de `sts:AssumeRoot`. Dans l'exemple suivant, l' CloudTrail événement pour AssumeRoot est enregistré dans le `eventName` champ. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1", "arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1", "accountId": "111111111111", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:role/John", "accountId": "111111111111", "userName": "Admin2" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-10-25T20:45:28Z", "mfaAuthenticated": "false" }, "assumedRoot": "true" } }, "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "222222222222", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } } ``` Pour savoir comment accéder à vos CloudTrail journaux, consultez la section [Obtenir et consulter vos fichiers CloudTrail journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *guide de AWS CloudTrail l'utilisateur*. 1. Dans le journal des CloudTrail événements, recherchez celui `targetPrincipal` qui indique les actions effectuées sur le compte du membre et celui `accessKeyId` qui est propre à la `AssumeRoot` session. Dans l'exemple suivant, `targetPrincipal` c'est 222222222222 et c'est EXAMPLE. `accessKeyId` ASIAIOSFODNN7 ``` "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "{{222222222222}}", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "{{ASIAIOSFODNN7EXAMPLE}}", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } ``` 1. Dans les CloudTrail journaux du principal cible, recherchez l'ID de clé d'accès correspondant à la `accessKeyId` valeur de l'`AssumeRoot`événement. Utilisez les valeurs des champs `eventName` pour déterminer les tâches privilégiées effectuées pendant la session `AssumeRoot`. Plusieurs tâches privilégiées peuvent être effectuées au cours d’une même session. La durée maximale de la session `AssumeRoot` est de 900 secondes (15 minutes). Dans l’exemple suivant, le compte de gestion ou l’administrateur délégué a supprimé la politique basée sur les ressources pour un compartiment Amazon S3. ``` { "eventVersion": "1.10", "userIdentity": { "type": "Root", "principalId": "{{222222222222}}", "arn": "arn:aws:iam::222222222222:root", "accountId": "222222222222", "accessKeyId": "{{ASIAIOSFODNN7EXAMPLE}}", "sessionContext": { "attributes": { "creationDate": "2024-10-25T20:52:11Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-10-25T20:53:47Z", "eventSource": "s3.amazonaws.com", "eventName": "DeleteBucketPolicy", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "bucketName": "resource-policy-John", "Host": "resource-policy-John.s3.amazonaws.com", "policy": "" }, "responseElements": null, "requestID": "1234567890abcdef0", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "readOnly": false, "resources": [ { "accountId": "222222222222", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::resource-policy-John" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "222222222222", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "resource-policy-John.s3.amazonaws.com" } } ```