CloudTrail - AWS Identity and Access Management
CloudTrail Structure de l'événement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail

Toutes les actions effectuées par les fournisseurs de produits à l'aide d'un accès délégué temporaire sont automatiquement enregistrées AWS CloudTrail. Cela fournit une visibilité et une auditabilité complètes de l'activité des fournisseurs de produits sur votre AWS compte. Vous pouvez identifier les actions entreprises par les fournisseurs de produits, le moment où elles se sont produites et le compte du fournisseur de produits qui les a effectuées.

Pour vous aider à faire la distinction entre les actions entreprises par vos propres responsables IAM et celles prises par les fournisseurs de produits disposant d'un accès délégué, les CloudTrail événements incluent un nouveau champ appelé invokedByDelegate sous l'userIdentityélément. Ce champ contient l'identifiant de AWS compte du fournisseur du produit, ce qui permet de filtrer et d'auditer facilement toutes les actions déléguées.

CloudTrail Structure de l'événement

L'exemple suivant montre un CloudTrail événement lié à une action effectuée par un fournisseur de produits à l'aide d'un accès délégué temporaire :

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

Le invokedByDelegate champ contient l'identifiant de AWS compte du fournisseur du produit qui a effectué l'action à l'aide de l'accès délégué. Dans cet exemple, le compte 444455556666 (le fournisseur du produit) a effectué une action dans le compte 111122223333 (le compte client).