CloudTrail - AWS Identity and Access Management
CloudTrail Struttura dell'evento

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudTrail

Tutte le azioni eseguite dai fornitori di prodotti che utilizzano l'accesso delegato temporaneo vengono registrate automaticamente. AWS CloudTrail Ciò garantisce la visibilità e la verificabilità complete dell'attività dei fornitori di prodotti nell'account dell'utente. AWS Puoi identificare quali azioni sono state intraprese dai fornitori di prodotti, quando si sono verificate e quale account del fornitore di prodotti le ha eseguite.

Per aiutarvi a distinguere tra le azioni intraprese dai vostri responsabili IAM e quelle intraprese dai fornitori di prodotti con accesso delegato, CloudTrail gli eventi includono un nuovo campo chiamato invokedByDelegate sotto l'userIdentityelemento. Questo campo contiene l'ID dell' AWS account del fornitore del prodotto, semplificando il filtraggio e il controllo di tutte le azioni delegate.

CloudTrail Struttura dell'evento

L'esempio seguente mostra un CloudTrail evento relativo a un'azione eseguita da un fornitore di prodotti utilizzando l'accesso delegato temporaneo:

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

Il invokedByDelegate campo contiene l'ID AWS account del fornitore del prodotto che ha eseguito l'azione utilizzando l'accesso delegato. In questo esempio, l'account 444455556666 (il fornitore del prodotto) ha eseguito un'azione nell'account 111122223333 (l'account cliente).