Incluir el contexto de usuario de IAM Identity Center en CloudTrail los registros - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Incluir el contexto de usuario de IAM Identity Center en CloudTrail los registros

Lake Formation utiliza la funcionalidad de expendición de credenciales para proporcionar acceso temporal a los datos de Amazon S3. De forma predeterminada, cuando un usuario de IAM Identity Center envía una consulta a un servicio de análisis integrado, los CloudTrail registros solo incluyen la IAM función que asume el servicio para proporcionar acceso a corto plazo. Si utiliza un rol definido por el usuario para registrar la ubicación de datos de Amazon S3 en Lake Formation, puede optar por incluir el contexto del usuario de IAM Identity Center en los CloudTrail eventos y, a continuación, realizar un seguimiento de los usuarios que acceden a sus recursos.

importante

Para incluir API solicitudes de Amazon S3 a nivel de objeto en el CloudTrail, debe habilitar el registro de CloudTrail eventos para el bucket y los objetos de Amazon S3. Para obtener más información, consulte Habilitar el registro de CloudTrail eventos para buckets y objetos de Amazon S3 en la Guía del usuario de Amazon S3.

Para habilitar la auditoría de la venta de credenciales en ubicaciones de lagos de datos registradas con funciones definidas por el usuario
  1. Inicie sesión en la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

  2. En la barra de navegación de la izquierda, expanda Administración y seleccione la configuración del catálogo de datos.

  3. En Auditoría mejorada, elija Propagar el contexto proporcionado.

  4. Seleccione Guardar.

También puede activar la opción de auditoría mejorada configurando el Parameters atributo en la PutDataLakeSettingsoperación. De forma predeterminada, el valor del SET_CONTEXT" parámetro está establecido en «true».

{ "DataLakeSettings": { "Parameters": {"SET_CONTEXT": "true"}, } }

El siguiente es un extracto de un CloudTrail evento con la opción de auditoría mejorada. Este registro incluye tanto el contexto de la sesión del usuario de IAM Identity Center como la IAM función definida por el usuario que asume Lake Formation para acceder a la ubicación de datos de Amazon S3. Consulte el onBehalfOf parámetro en el siguiente extracto.

{ "eventVersion":"1.09", "userIdentity":{ "type":"AssumedRole", "principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab", "arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab", "accountId":"123456789012", "accessKeyId":"ASIAW7F7MOX4CQLD4JIZN", "sessionContext":{ "sessionIssuer":{ "type":"Role", "principalId":"AROAW7F7MOX4OYE6FLIFN", "arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole", "accountId":"123456789012", "userName":"accessGrantsTestRole" }, "attributes":{ "creationDate":"2023-08-09T17:24:02Z", "mfaAuthenticated":"false" } }, "onBehalfOf":{ "userId": "<identityStoreUserId>", "identityStoreArn": "arn:aws:identitystore::<restOfIdentityStoreArn>" } }, "eventTime":"2023-08-09T17:25:43Z", "eventSource":"s3.amazonaws.com", "eventName":"GetObject", ....