Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudTrail userIdentity Element
AWS Identity and Access Management (IAM) bietet verschiedene Arten von Identitäten. Das userIdentity
Element enthält Informationen über den IAM Identitätstyp, der die Anfrage gestellt hat, und darüber, welche Anmeldeinformationen verwendet wurden. Wenn temporäre Anmeldeinformationen verwendet wurden, zeigt das Element, wie die Anmeldeinformationen erhalten wurden.
Inhalt
Beispiele
userIdentity
mit IAM-Anmeldeinformationen
Das folgende Beispiel zeigt das userIdentity
Element einer einfachen Anfrage, die mit den Anmeldeinformationen des angegebenen IAM Benutzers gestellt wurdeAlice
.
"userIdentity": { "type": "IAMUser", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "", "userName": "Alice" }
userIdentity
mit temporären Sicherheitsanmeldeinformationen
Das folgende Beispiel zeigt ein userIdentity
Element für eine Anfrage, die mit temporären Sicherheitsanmeldedaten gestellt wurde, die durch die Übernahme einer IAM Rolle abgerufen wurden. Das Element enthält weitere Informationen über die Rolle, die angenommen wurde, um Anmeldeinformationen zu erhalten.
"userIdentity": { "type": "AssumedRole", "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName", "accountId": "123456789012", "accessKeyId": "", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIDPPEZS35WEXAMPLE", "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed", "accountId": "123456789012", "userName": "RoleToBeAssumed" }, "attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" ) } }
userIdentity
für eine Anfrage, die im Namen eines IAM Identity Center-Benutzers gestellt wurde
Das folgende Beispiel zeigt ein userIdentity
Element für eine Anfrage, die im Namen eines IAM Identity Center-Benutzers gestellt wurde.
"userIdentity": { "type": "IdentityCenterUser", "accountId": "123456789012", "onBehalfOf": { "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1", "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7" }, "credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE" }
Felder
Die folgenden Felder können in einem userIdentity
Element erscheinen.
type
-
Die Art der Identität. Die folgenden Werte sind möglich:
-
Root
— Die Anfrage wurde mit Ihren AWS-Konto Anmeldeinformationen gestellt. Wenn deruserIdentity
-TypRoot
lautet und Sie einen Alias für das Konto festlegen, enthält das FelduserName
den Konto-Alias. Weitere Informationen finden Sie unter Ihre AWS-Konto -ID und der zugehörige Alias. -
IAMUser
— Die Anfrage wurde mit den Anmeldeinformationen eines IAM Benutzers gestellt. -
AssumedRole
— Die Anfrage wurde mit temporären Sicherheitsanmeldedaten gestellt, die mit einer Rolle durch einen Aufruf von AWS Security Token Service (AWS STS) abgerufen wurdenAssumeRole
API. Dies kann Rollen für Amazon EC2 und kontoübergreifenden API Zugriff beinhalten. -
Role
— Die Anfrage wurde mit einer persistenten IAM Identität gestellt, die über bestimmte Berechtigungen verfügt. Der Aussteller der Rollensitzungen ist immer die Rolle. Weitere Informationen zu Rollen finden Sie im IAMBenutzerhandbuch unter Begriffe und Konzepte von Rollen. -
FederatedUser
— Die Anfrage wurde mit temporären Sicherheitsanmeldedaten gestellt, die bei einem Anruf an die abgerufen wurden AWS STSGetFederationToken
API. DassessionIssuer
Element gibt an, ob das mit Root- oder IAM Benutzeranmeldedaten aufgerufen API wurde.Weitere Informationen zu temporären Sicherheitsanmeldedaten finden Sie unter Temporäre Sicherheitsanmeldedaten im IAMBenutzerhandbuch.
-
Directory
– Die Anforderung wurde an einen Directory Service gestellt und der Typ ist unbekannt. Zu den Verzeichnisdiensten gehören: Amazon WorkDocs und Amazon QuickSight. -
AWSAccount
— Die Anfrage wurde von einem anderen gestellt AWS-Konto -
AWSService
— Die Anfrage wurde von einem gestellt AWS-Konto , der einem gehört AWS-Service. AWS Elastic Beanstalk Nimmt beispielsweise eine IAM Rolle in Ihrem Konto an, um in Ihrem Namen andere AWS-Services Personen anzurufen. -
IdentityCenterUser
— Die Anfrage wurde im Namen eines IAM Identity Center-Benutzers gestellt. -
Unknown
— Die Anfrage wurde mit einem Identitätstyp gestellt, der nicht bestimmt CloudTrail werden kann.
Optional: False
AWSAccount
undAWSService
erscheinentype
in Ihren Protokollen, wenn es einen kontoübergreifenden Zugriff mit einer IAM Rolle gibt, deren Inhaber Sie sind.Beispiel: von einem anderen AWS -Konto initiierter kontoübergreifender Zugriff
-
Sie besitzen eine IAM Rolle in Ihrem Konto.
-
Ein anderes AWS Konto wechselt zu dieser Rolle, um die Rolle für Ihr Konto zu übernehmen.
-
Da Ihnen die IAM Rolle gehört, erhalten Sie ein Protokoll, aus dem hervorgeht, dass das andere Konto die Rolle übernommen hat. Das
type
istAWSAccount
. Ein Beispiel für einen Protokolleintrag finden Sie unter AWS STS APIEreignis in der CloudTrail Protokolldatei.
Beispiel: Kontenübergreifender Zugriff, der von einem AWS Dienst initiiert wurde
-
Sie besitzen eine IAM Rolle in Ihrem Konto.
-
Ein AWS Konto, das einem AWS Dienst gehört, übernimmt diese Rolle.
-
Da Sie Eigentümer der IAM Rolle sind, erhalten Sie ein Protokoll, aus dem hervorgeht, dass der AWS Dienst die Rolle übernommen hat. Das
type
istAWSService
.
-
userName
-
Der Anzeigename der Identität, von der der Aufruf stammt. Der angezeigte Wert
userName
basiert auf dem intype
angegebenen Wert. Die folgende Tabelle zeigt das Verhältnis zwischentype
unduserName
:type
userName
Beschreibung Root
(kein Alias festgelegt)Nicht vorhanden Wenn Sie keinen Alias für Ihren eingerichtet haben AWS-Konto, wird das userName
Feld nicht angezeigt. Weitere Informationen zu Kontoaliasnamen finden Sie unter Ihre AWS-Konto ID und ihr Alias. Beachten Sie bitte, dass das FelduserName
niemals den WertRoot
enthält, da es sich beiRoot
um einen Identitätstyp und nicht um einen Benutzernamen handelt.Root
(Stamm) (kein Alias festgelegt)Konto-Alias Weitere Informationen zu AWS-Konto Aliasnamen findest du unter Deine AWS-Konto ID und ihr Alias. IAMUser
Der Benutzername des IAM Benutzers AssumedRole
Nicht vorhanden Für den AssumedRole
Typ finden Sie dasuserName
FeldsessionContext
als Teil des sessionIssuerElements. Einen Beispieleintrag finden Sie unter Beispiele.Role
Benutzerdefiniert Die Abschnitte sessionContext
undsessionIssuer
enthalten Informationen über die Identität, die die Sitzung für die Rolle erstellt hat.FederatedUser
Nicht vorhanden Die Abschnitte sessionContext
undsessionIssuer
enthalten Informationen über die Identität, die die Sitzung für den Verbundbenutzer erstellt hat.Directory
Kann vorhanden sein Der Wert kann beispielsweise der Kontoalias oder die E-Mail-Adresse der zugehörigen AWS-Konto -ID sein. AWSService
Nicht vorhanden AWSAccount
Nicht vorhanden IdentityCenterUser
Nicht vorhanden Der onBehalfOf
Abschnitt enthält Informationen zur IAM Identity Center-Benutzer-ID und zum Identitätsspeicher, ARN für die der Anruf getätigt wurde. Weitere Informationen zu IAM Identity Center finden Sie im AWS IAM Identity Center Benutzerhandbuch.Unknown
Kann vorhanden sein Der Wert kann beispielsweise der Kontoalias oder die E-Mail-Adresse der zugehörigen AWS-Konto -ID sein. Anmerkung
Das
userName
-Feld enthält die Zeichenfolge,HIDDEN_DUE_TO_SECURITY_REASONS
, wenn das aufgezeichnete Ereignis einen Konsole-Anmeldefehler durch Eingabe eines falschen Benutzernamens angibt. CloudTrail zeichnet den Inhalt in diesem Fall nicht auf, da der Text vertrauliche Informationen enthalten könnte, wie in den folgenden Beispielen:-
Ein Benutzer gibt versehentlich ein Passwort im Feld für den Benutzernamen ein.
-
Ein Benutzer klickt auf den Link für die Anmeldeseite eines AWS Kontos, gibt dann aber die Kontonummer für ein anderes Konto ein.
-
Ein Benutzer gibt versehentlich den Kontonamen eines persönlichen E-Mail-Kontos, eine Bank-Anmelde-ID oder eine andere private ID ein.
Optional: Wahr
-
principalId
-
Eine eindeutige ID für die Entität, von der der Aufruf stammt. Bei Anfragen mit temporären Sicherheitsanmeldedaten beinhaltet dieser Wert den Sitzungsnamen, der an den
AssumeRole
AssumeRoleWithWebIdentity
, oderGetFederationToken
API -Aufruf übergeben wird.Optional: Wahr
arn
-
Der Amazon-Ressourcenname (ARN) des Prinzipals, der den Anruf getätigt hat. Der letzte Abschnitt des ARN enthält den Benutzer oder die Rolle, von dem/der der Aufruf stammt.
Optional: Wahr
accountId
-
Das Konto, das die Entität besitzt, die die Berechtigungen für die Anforderung erteilte. Wenn die Anfrage mit temporären Sicherheitsanmeldedaten gestellt wurde, ist dies das Konto, dem der IAM Benutzer oder die Rolle gehört, die zum Abrufen der Anmeldeinformationen verwendet wurden.
Wenn die Anfrage mit einem autorisierten IAM Identity Center-Zugriffstoken gestellt wurde, ist dies das Konto, dem die IAM Identity Center-Instanz gehört.
Optional: Wahr
accessKeyId
-
Die -Zugriffsschlüssel-ID, die zum Signieren der Abfrage verwendet wurde. Erfolgte die Abfrage mittels temporärer Sicherheitsanmeldeinformationen, ist dies die Zugriffsschlüssel-ID der temporären Anmeldeinformationen. Aus Sicherheitsgründen ist
accessKeyId
möglicherweise nicht vorhanden oder wird als leere Zeichenfolge angezeigt.Optional: Wahr
sessionContext
-
Erfolgte die Anforderung mittels temporärer Sicherheitsanmeldeinformationen, stellt
sessionContext
die Informationen über die Sitzung bereit, die für diese Anmeldeinformationen erstellt wurde. Sie erstellen eine Sitzung, wenn Sie eine Sitzung aufrufenAPI, die temporäre Anmeldeinformationen zurückgibt. Benutzer erstellen auch Sitzungen, wenn sie in der Konsole arbeiten, und stellen APIs damit Anfragen, einschließlich Multi-Faktor-Authentifizierung. Die folgenden Attribute können insessionContext
vorkommen:-
sessionIssuer
— Wenn ein Benutzer eine Anfrage mit temporären SicherheitsanmeldedatensessionIssuer
stellt, werden Informationen darüber bereitgestellt, wie der Benutzer die Anmeldeinformationen erhalten hat. Wurden die temporären Sicherheitsanmeldeinformationen beispielsweise durch Annahme einer Rolle abgerufen, gibt dieses Element Auskunft über die entsprechende Rolle. Wenn der Benutzer Anmeldeinformationen mit Root- oder IAM Benutzeranmeldedaten zum Aufrufen erhalten hat AWS STSGetFederationToken
, liefert das Element Informationen über das Root-Konto oder den IAM Root-Benutzer. Dieses Element hat die folgenden Attribute:-
type
– Die Quelle der temporären Sicherheitsanmeldeinformationen wie z. B.Root
(Stamm),IAMUser
(IAM-Benutzer) oderRole
(Rolle). -
userName
– Der Anzeigename des Benutzers oder der Rolle, die die Sitzung erstellt hat. Der angezeigte Wert ist vomsessionIssuer
-Identitäts-type
abhängig. Die folgende Tabelle zeigt das Verhältnis zwischensessionIssuer type
unduserName
:sessionIssuer
-TypuserName
Beschreibung Root
(kein Alias festgelegt)Nicht vorhanden Wenn Sie für das Konto keinen Alias festgelegt haben, wird das userName
-Feld nicht angezeigt. Weitere Informationen zu AWS-Konto Aliasnamen finden Sie unter Ihre AWS-Konto ID und ihr Alias. Beachten Sie bitte, dass das FelduserName
niemals den WertRoot
enthält, da es sich beiRoot
um einen Identitätstyp und nicht um einen Benutzernamen handelt.Root
(Stamm) (kein Alias festgelegt)Konto-Alias Weitere Informationen zu AWS-Konto Aliasnamen findest du unter Deine AWS Konto-ID und ihr Alias. IAMUser
Der Benutzername des IAM Benutzers Dies gilt auch, wenn ein verbundener Benutzer eine Sitzung verwendet, die von einem IAMUser
erstellt wurde.Role
Rollenname Eine Rolle, AWS-Service die von einem IAM Benutzer oder einem Verbundbenutzer mit Web-Identität in einer Rollensitzung übernommen wurde. -
principalId
: Die interne ID der Entität, die verwendet wurde, um die Anmeldeinformationen abzurufen. -
arn
— Die ARN Quelle (Konto, IAM Benutzer oder Rolle), die zum Abrufen temporärer Sicherheitsanmeldedaten verwendet wurde. -
accountId
– Das Konto, das die Entität besitzt, die verwendet wurde, um die Anmeldeinformationen zu erhalten.
-
-
webIdFederationData
— Wenn die Anfrage mit temporären Sicherheitsanmeldedaten gestellt wurde, die über den Web Identity Federation abgerufen wurden,webIdFederationData
werden Informationen über den Identitätsanbieter aufgeführt.Dieses Element hat die folgenden Attribute:
-
federatedProvider
– Der Prinzipal-Name des Identitätsanbieters (z. B.www.amazon.com
für Login with Amazon oderaccounts.google.com
für Google). -
attributes
– Die Anwendungs-ID und Benutzer-ID, wie sie vom Anbieter gemeldet wurden (z. B.www.amazon.com:app_id
undwww.amazon.com:user_id
für Login with Amazon).
Anmerkung
Das Auslassen dieses Felds oder das Vorhandensein dieses Felds mit einem leeren Wert bedeutet, dass keine Informationen über den Identitätsanbieter vorliegen.
-
-
creationDate
– Das Datum und die Uhrzeit, zu dem/der die temporären Sicherheitsanmeldeinformationen ausgestellt wurden. Dargestellt in der ISO Standardschreibweise 8601. -
mfaAuthenticated
— Der Wert gibt an,true
ob sich der Root-Benutzer oder der IAM Benutzer, der seine Anmeldeinformationen für die Anfrage verwendet hat, auch bei einem MFA Gerät authentifiziert hat; andernfalls.false
-
sourceIdentity
– Weitere Informationen finden Sie unter AWS STS Quellidentität in diesem Thema. DassourceIdentity
Feld tritt bei Ereignissen auf, wenn Benutzer eine IAM Rolle übernehmen, um eine Aktion auszuführen.sourceIdentity
identifiziert die ursprüngliche Benutzeridentität, die die Anfrage gestellt hat, unabhängig davon, ob es sich bei der Identität dieses Benutzers um einen IAM Benutzer, eine IAM Rolle, einen Benutzer, der über einen SAML basierten Verbund authentifiziert wurde, oder um einen Benutzer handelt, der über einen OpenID Connect (OIDC) -kompatiblen Web-Identitätsverbund authentifiziert wurde. Weitere Informationen zur Konfiguration der Erfassung von Informationen AWS STS zur Quellenidentität finden Sie im Benutzerhandbuch unter Überwachen und Steuern von Aktionen, die mit übernommenen Rollen ergriffen wurden. IAM -
ec2RoleDelivery
— Der Wert ist,1.0
wenn die Anmeldeinformationen von Amazon EC2 Instance Metadata Service Version 1 (IMDSv1) bereitgestellt wurden. Der Wert gibt an2.0
, ob die Anmeldeinformationen mit dem neuen IMDS Schema bereitgestellt wurden.AWS Die vom Amazon EC2 Instance Metadata Service (IMDS) bereitgestellten Anmeldeinformationen enthalten einen ec2: RoleDelivery IAM -Kontextschlüssel. Dieser Kontextschlüssel macht es einfach, die Verwendung des neuen Schemas auf resource-by-resource Or-Basis zu erzwingen, indem der Kontextschlüssel als Bedingung in IAM Richtlinien, Ressourcenrichtlinien oder AWS Organizations Servicesteuerungsrichtlinien verwendet wird. service-by-service Weitere Informationen finden Sie unter Instance-Metadaten und Benutzerdaten im EC2Amazon-Benutzerhandbuch.
Optional: Wahr
-
invokedBy
-
Der Name AWS-Service desjenigen, der die Anfrage gestellt hat, wenn eine Anfrage von einem AWS-Service wie Amazon EC2 Auto Scaling oder gestellt wird AWS Elastic Beanstalk. Dieses Feld ist nur vorhanden, wenn eine Anfrage von einem gestellt wird AWS-Service. Dazu gehören Anfragen von Diensten, die Forward-Access-Sitzungen (FAS) verwenden, AWS-Service Principals, dienstverknüpfte Rollen oder Servicerollen, die von einem verwendet werden. AWS-Service
Optional: Wahr
onBehalfOf
-
Wenn die Anfrage von einem IAM Identity Center-Anrufer gestellt wurde,
onBehalfOf
liefert Informationen über die IAM Identity Center-Benutzer-ID und den Identitätsspeicher, ARN für den der Anruf getätigt wurde. Dieses Element hat die folgenden Attribute:-
userId
— Die ID des IAM Identity Center-Benutzers, in dessen Namen der Anruf getätigt wurde. -
identityStoreArn
— Die ARN des IAM Identity Center-Identitätsspeichers, in dessen Namen der Anruf getätigt wurde.
Optional: Wahr
-
credentialId
-
Die Anmeldeinformationen-ID für die Anforderung. Dies wird nur festgelegt, wenn der Anrufer ein Inhabertoken verwendet, z. B. ein autorisiertes IAM Identity Center-Zugriffstoken.
Optional: Wahr
Werte für „with“ SAML und „Web AWS STS APIs Identity Federation“
AWS CloudTrail unterstützt Logging AWS Security Token Service (AWS STS) API -Aufrufe, die mit Security Assertion Markup Language (SAML) und Web Identity Federation getätigt wurden. Wenn ein Benutzer das AssumeRoleWithSAML
und anruft AssumeRoleWithWebIdentity
APIs, CloudTrail zeichnet er den Anruf auf und übermittelt das Ereignis an Ihren Amazon S3 S3-Bucket.
Das userIdentity
Element für diese APIs enthält die folgenden Werte.
type
-
Den Identitätstyp.
-
SAMLUser
— Die Anfrage wurde mit SAML Zusicherung gestellt. -
WebIdentityUser
– Die Abfrage erfolgte über einen Web-Identitätsverbundanbieter.
-
principalId
-
Eine eindeutige ID für die Entität, von der der Aufruf stammt.
-
Bei einem
SAMLUser
ist dies eine Kombination aussaml:namequalifier
undsaml:sub
-Schlüsseln. -
Bei einem
WebIdentityUser
ist dies eine Kombination aus dem Aussteller, Anwendungs-ID und Benutzer-ID.
-
userName
-
Der Name der Identität, über die der Aufruf getätigt wurde.
-
Bei einem
SAMLUser
ist dies dersaml:sub
-Schlüssel. -
Bei einem
WebIdentityUser
ist dies die Benutzer-ID.
-
identityProvider
-
Der Prinzipal-Name des externen Identitätsanbieters. Dieses Feld wird nur bei
SAMLUser
oderWebIdentityUser
-Typen angezeigt.-
Denn
SAMLUser
das ist dersaml:namequalifier
Schlüssel für die SAML Behauptung. -
Bei einem
WebIdentityUser
ist dies der Aussteller-Name des Web-Identitätsverbundanbieters. Hierbei kann es sich um einen Anbieter, den Sie konfiguriert haben, handeln wie z .B.:-
cognito-identity.amazon.com
für Amazon Cognito -
www.amazon.com
für Login with Amazon -
accounts.google.com
für Google -
graph.facebook.com
für Facebook
-
-
Nachstehend finden Sie ein Beispiel eines userIdentity
-Elements (Benutzeridentität) für die AssumeRoleWithWebIdentity
-Aktion (Übernahme einer Rolle mit der Web-Identität).
"userIdentity": { "type": "WebIdentityUser", "principalId": "accounts.google.com:
application-id
.apps.googleusercontent.com:user-id
", "userName": "user-id
", "identityProvider": "accounts.google.com" }
Logs zum Beispiel darüber, wie das userIdentity
Element erscheint SAMLUser
und welche WebIdentityUser
Typen es hat, finden Sie unter Protokollierung IAM und AWS STS API Aufrufe mit AWS CloudTrail.
AWS STS Quellidentität
Ein IAM Administrator kann so konfigurieren AWS Security Token Service , dass Benutzer ihre Identität angeben müssen, wenn sie temporäre Anmeldeinformationen verwenden, um Rollen zu übernehmen. Das sourceIdentity
Feld tritt bei Ereignissen auf, wenn Benutzer eine IAM Rolle übernehmen oder Aktionen mit der angenommenen Rolle ausführen.
Das sourceIdentity
Feld identifiziert die ursprüngliche Benutzeridentität, die die Anfrage gestellt hat, unabhängig davon, ob es sich bei der Identität dieses IAM Benutzers um einen Benutzer, eine IAM Rolle, einen Benutzer, der mithilfe eines SAML basierten Verbunds authentifiziert wurde, oder um einen Benutzer handelt, der mithilfe eines OpenID Connect (OIDC) -kompatiblen Web-Identitätsverbunds authentifiziert wurde. Nach der Konfiguration durch den IAM Administrator werden sourceIdentity
Informationen zu den folgenden Ereignissen und Orten im Ereignisdatensatz CloudTrail protokolliert: AWS STS
-
Die AWS STS
AssumeRole
, oderAssumeRoleWithWebIdentity
-AufrufeAssumeRoleWithSAML
, die eine Benutzeridentität tätigt, wenn sie eine Rolle übernimmt.sourceIdentity
befindet sich imrequestParameters
Block der AWS STS Aufrufe. -
Die
AssumeRoleWithWebIdentity
Aufrufe AWS STSAssumeRole
, oderAssumeRoleWithSAML
, die eine Benutzeridentität tätigt, wenn sie eine Rolle verwendet, um eine andere Rolle anzunehmen. Dies wird als Rollenverkettung bezeichnet.sourceIdentity
befindet sich imrequestParameters
Block der AWS STS Aufrufe. -
Der AWS Dienst API ruft die Benutzeridentität ab, während sie eine Rolle annimmt und die temporären Anmeldeinformationen verwendet, die von zugewiesen wurden AWS STS. Bei API Dienstereignissen
sourceIdentity
ist es imsessionContext
Block zu finden. Wenn beispielsweise eine Benutzeridentität einen neuen S3 Bucket erstellt, kommtsourceIdentity
imsessionContext
-Block desCreateBucket
-Ereignisses vor.
Weitere Informationen AWS STS zur Konfiguration der Erfassung von Quellidentitätsinformationen finden Sie im IAMBenutzerhandbuch unter Überwachen und Steuern von Aktionen, die mit übernommenen Rollen durchgeführt werden. Weitere Informationen zu AWS STS Ereignissen, die protokolliert werden CloudTrail, finden Sie unter Protokollierung IAM und AWS STS API Aufrufe mit AWS CloudTrail im IAMBenutzerhandbuch.
Im Folgenden finden Sie Beispielausschnitte von Ereignissen, die das sourceIdentity
-Feld anzeigen.
Beispiel Abschnitt requestParameters
Im folgenden Beispiel-Event-Snippet stellt ein Benutzer eine AWS STS AssumeRole
Anfrage und legt eine Quellidentität fest, hier dargestellt durch.
Der Benutzer nimmt eine Rolle an, die durch die Rolle repräsentiert wird. ARN source-identity-value-set
arn:aws:iam::123456789012:role/Assumed_Role
Das sourceIdentity
-Feld befindet sich im requestParameters
-Block des Ereignisses.
"eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "accountId": "123456789012" }, "eventTime": "2020-04-02T18:20:53Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRole", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.64", "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86", "requestParameters": { "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role", "roleSessionName": "Test1", "sourceIdentity": "
source-identity-value-set
", },
Beispiel Abschnitt responseElements
Im folgenden Beispiel-Event-Snippet stellt ein Benutzer eine AWS STS AssumeRole
Anfrage zur Übernahme einer Rolle mit dem Namen Developer_Role
und legt eine Quellidentität fest. Admin
Der Benutzer nimmt eine Rolle an, die durch die Rolle repräsentiert wird. ARN arn:aws:iam::111122223333:role/Developer_Role
Das sourceIdentity
-Feld befindet sich in den requestParameters
- und responseElements
-Blöcken des Ereignisses. Die temporären Anmeldeinformationen, die zur Übernahme der Rolle verwendet wurden, die Zeichenfolge für das Sitzungstoken und die angenommene Rollen-ID, der Sitzungsname und die Sitzung ARN werden zusammen mit der Quellidentität im responseElements
Block angezeigt.
"requestParameters": { "roleArn": "arn:aws:iam::111122223333:role/Developer_Role", "roleSessionName": "Session_Name", "sourceIdentity": "Admin" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "expiration": "Jan 22, 2021 12:46:28 AM", "sessionToken": "XXYYaz... EXAMPLE_SESSION_TOKEN XXyYaZAz" }, "assumedRoleUser": { "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name", "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name" }, "sourceIdentity": "Admin" } ...
Beispiel Abschnitt sessionContext
Im folgenden Beispiel-Event-Snippet nimmt ein Benutzer eine Rolle mit dem Namen Call a DevRole
Service an AWS . API Der Benutzer legt eine Quellidentität fest, die hier dargestellt wird durch source-identity-value-set
. Das sourceIdentity
Feld befindet sich im sessionContext
Block, innerhalb des userIdentity
Blocks des Ereignisses.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1", "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAJ45Q7YFFAREXAMPLE", "arn": "arn: aws: iam: : 123456789012: role/DevRole", "accountId": "123456789012", "userName": "DevRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-02-21T23: 46: 28Z" }, "sourceIdentity": "
source-identity-value-set
" } } }