Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Lacak tugas istimewa di AWS CloudTrail

PDF
RSS
Mode fokus
Lacak tugas istimewa di AWS CloudTrail - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM dapat melakukan beberapa tugas pengguna root pada akun anggota menggunakan akses root jangka pendek. Sesi istimewa jangka pendek memberi Anda kredensi sementara yang dapat Anda lingkup untuk mengambil tindakan istimewa pada akun anggota di organisasi Anda. Anda dapat menggunakan langkah-langkah berikut untuk mengidentifikasi tindakan yang diambil oleh akun manajemen atau administrator yang didelegasikan selama sts:AssumeRootsesi berlangsung.

catatan

Titik akhir global tidak didukung untuksts:AssumeRoot. CloudTrail mencatat ConsoleLogin peristiwa di Wilayah yang ditentukan untuk titik akhir.

Untuk melacak tindakan yang dilakukan oleh sesi istimewa di log CloudTrail

  1. Temukan AssumeRoot acara di CloudTrail log Anda. Acara ini dihasilkan ketika akun manajemen Anda atau administrator yang didelegasikan untuk IAM mendapatkan satu set kredensi jangka pendek dari. sts:AssumeRoot

    Dalam contoh berikut, CloudTrail acara untuk AssumeRoot dicatat di eventName bidang.

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1",
        "arn": "arn:aws:sts::111111111111:assumed-role/JohnDoe/JohnRole1",
        "accountId": "111111111111",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111111111111:role/JohnDoe",
                "accountId": "111111111111",
                "userName": "Admin2"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2024-10-25T20:45:28Z",
                "mfaAuthenticated": "false"
            },
            "assumedRoot": "true"
        }
    },
    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
        }
    }
}

    Untuk langkah-langkah untuk mengakses CloudTrail log Anda, lihat Mendapatkan dan melihat file CloudTrail log Anda di Panduan AWS CloudTrail Pengguna.

  2. Dalam log CloudTrail peristiwa, cari targetPrincipal yang menentukan tindakan akun anggota yang diambil, dan accessKeyId yang unik untuk AssumeRoot sesi tersebut.

    Dalam contoh berikut, targetPrincipal adalah 22222222222222 dan adalah. accessKeyId ASIAIOSFODNN7EXAMPLE

    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
    }
}

  3. Dalam CloudTrail log untuk prinsipal target, cari ID kunci akses yang sesuai dengan accessKeyId nilai dari AssumeRoot acara tersebut. Gunakan nilai eventName bidang untuk menentukan tugas istimewa yang dilakukan selama AssumeRoot sesi. Mungkin ada beberapa tugas istimewa yang dilakukan dalam satu sesi. Durasi sesi maksimum AssumeRoot adalah 900 detik (15 menit).

    Dalam contoh berikut, akun manajemen atau administrator yang didelegasikan menghapus kebijakan berbasis sumber daya untuk bucket Amazon S3.

    {
    "eventVersion": "1.10",
    "userIdentity": {
        "type": "Root",
        "principalId": "222222222222",
        "arn": "arn:aws:iam::222222222222:root",
        "accountId": "222222222222",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2024-10-25T20:52:11Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-10-25T20:53:47Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "DeleteBucketPolicy",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",
    "requestParameters": {
        "bucketName": "resource-policy-JohnDoe",
        "Host": "resource-policy-JohnDoe.s3.amazonaws.com",
        "policy": ""
    },
    "responseElements": null,
    "requestID": "1234567890abcdef0",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "readOnly": false,
    "resources": [
        {
            "accountId": "222222222222",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::resource-policy-JohnDoe"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "222222222222",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "resource-policy-JohnDoe.s3.amazonaws.com"
    }
}

Related resources

AWS Identity and Access Management Referensi API
AWS CLI perintah untuk AWS Identity and Access Management
SDKs & Alat 

Related resources

AWS Identity and Access Management Referensi API
AWS CLI perintah untuk AWS Identity and Access Management
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.