Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan

IAMPeran adalah objek IAM yang diberi izin. Saat Anda mengambil peran tersebut menggunakan IAM identitas atau identitas dari luar AWS, Anda menerima sesi dengan izin yang ditetapkan ke peran tersebut.

Saat Anda melakukan tindakan AWS, informasi tentang sesi Anda dapat dicatat AWS CloudTrail untuk dipantau oleh administrator akun Anda. Administrator dapat mengkonfigurasi peran untuk meminta identitas untuk melewati string kustom yang mengidentifikasi orang atau aplikasi yang melakukan tindakan di AWS. Informasi identitas ini disimpan sebagai identitas sumber di AWS CloudTrail. Saat administrator meninjau aktivitas CloudTrail, mereka dapat melihat informasi identitas sumber untuk menentukan siapa atau tindakan apa yang dilakukan dengan sesi peran yang diasumsikan.

Setelah identitas sumber ditetapkan, identitas tersebut hadir dalam permintaan untuk AWS tindakan apa pun yang diambil selama sesi peran. Nilai yang ditetapkan tetap ada ketika peran digunakan untuk mengambil peran lain melalui AWS CLI atau AWS API, yang dikenal sebagai rantai peran. Nilai yang ditetapkan tidak dapat diubah selama sesi peran. Administrator dapat mengonfigurasi izin granular berdasarkan keberadaan atau nilai identitas sumber untuk mengontrol AWS tindakan lebih lanjut yang diambil dengan peran bersama. Anda dapat memutuskan apakah atribut identitas sumber dapat digunakan, apakah itu diperlukan, dan apakah nilai dapat digunakan.

Cara Anda menggunakan identitas sumber berbeda dari nama sesi peran dan tanda sesi dalam cara yang penting. Nilai identitas sumber tidak dapat diubah setelah ditetapkan, dan tetap ada untuk tindakan tambahan yang diambil dengan sesi peran. Berikut cara menggunakan tanda sesi dan nama sesi peran:

• Tag sesi — Anda dapat meneruskan tag sesi saat Anda mengambil peran atau menyatukan pengguna. Tanda sesi hadir ketika peran diasumsikan. Kemudian, Anda dapat menentukan kebijakan yang menggunakan kunci syarat tanda untuk memberikan izin kepada penanggung jawab Anda berdasarkan tanda mereka. Kemudian Anda dapat menggunakan CloudTrail untuk melihat permintaan yang dibuat untuk mengambil peran atau pengguna federasi. Untuk mempelajari lebih lanjut tentang tanda sesi, lihat Lulus tag sesi di AWS STS.

• Nama sesi peran — Anda dapat menggunakan kunci sts:RoleSessionName kondisi dalam kebijakan kepercayaan peran untuk mengharuskan pengguna Anda memberikan nama sesi tertentu saat mereka mengambil peran. Nama sesi peran dapat digunakan untuk membedakan sesi peran ketika peran digunakan oleh penanggung jawab yang berbeda. Untuk mempelajari lebih lanjut tentang nama sesi peran, lihat sts: RoleSessionName.

Kami menyarankan Anda menggunakan identitas sumber ketika Anda ingin mengontrol identitas yang mengasumsikan peran. Identitas sumber juga berguna untuk penambangan CloudTrail log untuk menentukan siapa yang menggunakan peran untuk melakukan tindakan.

Menyiapkan untuk menggunakan identitas sumber

Cara Anda mengatur untuk menggunakan identitas sumber tergantung metode yang digunakan ketika peran Anda diasumsikan. Misalnya, IAM pengguna Anda mungkin mengambil peran secara langsung menggunakan AssumeRole operasi. Jika Anda memiliki identitas perusahaan, juga dikenal sebagai identitas tenaga kerja, mereka dapat mengakses sumber daya Anda AWS menggunakan. AssumeRoleWithSAML Jika pengguna akhir mengakses aplikasi seluler atau web Anda, mereka mungkin melakukannya menggunakan AssumeRoleWithWebIdentity. Berikut ini adalah gambaran umum alur kerja tingkat tinggi untuk membantu Anda memahami bagaimana Anda dapat mengatur untuk memanfaatkan informasi identitas sumber di lingkungan yang ada.

1. Konfigurasikan pengguna dan peran pengujian — Menggunakan lingkungan praproduksi, konfigurasikan pengguna dan peran pengujian, serta konfigurasikan kebijakan mereka untuk memungkinkan pengaturan identitas sumber.

   Jika Anda menggunakan penyedia identitas (IdP) untuk identitas federasi Anda, konfigurasikan IdP Anda untuk melewati atribut pengguna pilihan Anda untuk identitas sumber dalam pernyataan atau token.

2. Asumsikan peran — Uji asumsi peran dan meneruskan identitas sumber dengan pengguna dan peran yang Anda siapkan untuk pengujian.

3. Tinjauan CloudTrail — Tinjau informasi identitas sumber untuk peran pengujian Anda di CloudTrail log Anda.

4. Latih pengguna Anda — Setelah Anda menguji di lingkungan praproduksi, pastikan bahwa pengguna Anda tahu cara meneruskan informasi identitas sumber, jika perlu. Tetapkan tenggat waktu untuk kapan Anda akan meminta pengguna Anda untuk memberikan identitas sumber di lingkungan produksi Anda.

5. Konfigurasikan kebijakan produksi — Konfigurasikan kebijakan Anda untuk lingkungan produksi, lalu tambahkan ke pengguna dan peran produksi Anda.

6. Pantau aktivitas — Pantau aktivitas peran produksi Anda menggunakan CloudTrail log.

Hal yang perlu diketahui tentang identitas sumber

Ingatlah hal-hal berikut ini saat bekerja dengan identitas sumber.

• Kebijakan kepercayaan untuk semua peran yang terhubung ke penyedia identitas (IdP) harus memiliki izin sts:SetSourceIdentity. Untuk peran yang tidak memiliki izin ini dalam kebijakan kepercayaan peran, operasi AssumeRole* akan gagal. Jika Anda tidak ingin memperbarui kebijakan kepercayaan peran untuk setiap peran, Anda dapat menggunakan instans IdP terpisah untuk meneruskan identitas sumber. Lalu tambahkan izin sts:SetSourceIdentity hanya untuk peran yang terhubung ke IdP yang terpisah.

• Ketika identitas menetapkan identitas sumber, kunci sts:SourceIdentity terdapat dalam permintaan. Untuk tindakan selanjutnya yang diambil selama sesi peran, kunci aws:SourceIdentity terdapat dalam permintaan. AWS tidak mengontrol nilai identitas sumber di salah satu kunci sts:SourceIdentity atau aws:SourceIdentity. Jika Anda memilih untuk meminta identitas sumber, Anda harus memilih atribut yang Anda inginkan pengguna atau IdP untuk menyediakan. Untuk tujuan keamanan, Anda harus memastikan bahwa Anda dapat mengontrol bagaimana nilai-nilai tersebut disediakan.

• Nilai identitas sumber harus antara 2 dan 64 karakter panjang, dapat berisi hanya karakter alfanumerik, garis bawah, dan karakter berikut:., + = @ - (tanda hubung). Anda tidak dapat menggunakan nilai yang dimulai dengan teks aws:. Awalan ini dicadangkan untuk penggunaan AWS internal.

• Informasi identitas sumber tidak ditangkap oleh CloudTrail ketika AWS layanan atau peran terkait layanan melakukan tindakan atas nama identitas federasi atau tenaga kerja.

penting

Anda tidak dapat beralih ke peran AWS Management Console yang memerlukan identitas sumber untuk disetel saat peran diasumsikan. Untuk mengambil peran seperti itu, Anda dapat menggunakan AWS CLI atau AWS API untuk memanggil AssumeRole operasi dan menentukan parameter identitas sumber.

Izin yang diperlukan untuk menetapkan identitas sumber

Selain tindakan yang cocok dengan API operasi, Anda harus memiliki tindakan khusus izin berikut dalam kebijakan Anda:

sts:SetSourceIdentity

• Untuk menentukan identitas sumber, prinsipal (IAMpengguna dan peran) harus memiliki izin untuk. sts:SetSourceIdentity Sebagai administrator, Anda dapat mengonfigurasi ini dalam kebijakan kepercayaan peran dan kebijakan izin penanggung jawab.

• Ketika Anda mengambil peran dengan peran lain, disebut perangkaian peran, izin untuk sts:SetSourceIdentity diperlukan dalam kebijakan perizinan penanggung jawab yang mengasumsikan peran dan dalam kebijakan kepercayaan peran pada peran target. Jika tidak, peran operasi asumsi akan gagal.

• Saat menggunakan identitas sumber, kebijakan kepercayaan peran untuk semua peran yang terhubung ke IdP harus memiliki izin sts:SetSourceIdentity. Operasi AssumeRole* akan gagal untuk peran apa pun yang terhubung ke IdP tanpa izin ini. Jika Anda tidak ingin memperbarui kebijakan kepercayaan peran untuk setiap peran, Anda dapat menggunakan instans IdP terpisah untuk meneruskan identitas sumber dan menambahkan izin sts:SetSourceIdentity hanya untuk peran yang terhubung ke IdP yang terpisah.

• Untuk menetapkan identitas sumber di batas akun, Anda harus menyertakan izin sts:SetSourceIdentity di dua tempat. Harus berada dalam kebijakan izin penanggung jawab di akun asal dan kebijakan kepercayaan peran dalam akun target. Anda mungkin perlu melakukannya, misalnya, ketika peran digunakan untuk mengambil peran di akun lain dengan perangkaian peran.

Sebagai administrator akun, bayangkan Anda ingin mengizinkan IAM pengguna DevUser di akun Anda untuk mengasumsikan akun yang sama. Developer_Role Tetapi Anda ingin mengizinkan tindakan ini hanya jika pengguna telah mengatur identitas sumber ke nama IAM pengguna mereka. Anda dapat melampirkan kebijakan berikut kepada IAM pengguna.

contoh Contoh kebijakan berbasis identitas yang dilampirkan DevUser

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AssumeRole",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::123456789012:role/Developer_Role"
    },
    {
      "Sid": "SetAwsUserNameAsSourceIdentity",
      "Effect": "Allow",
      "Action": "sts:SetSourceIdentity",
      "Resource": "arn:aws:iam::123456789012:role/Developer_Role",
      "Condition": {
        "StringLike": {
          "sts:SourceIdentity": "${aws:username}"
        }
      }
    }
  ]
}

Untuk memberlakukan nilai identitas sumber yang dapat diterima, Anda dapat mengonfigurasi kebijakan kepercayaan peran berikut. Kebijakan ini memberikan DevUser izin IAM pengguna untuk mengambil peran dan menetapkan identitas sumber. Kunci syarat sts:SourceIdentity mendefinisikan nilai identitas sumber yang dapat diterima.

contoh Contoh kebijakan kepercayaan peran untuk identitas sumber

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDevUserAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/DevUser"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity"
      ],
      "Condition": {
        "StringEquals": {
          "sts:SourceIdentity": "DevUser"
        }
      }
    }
  ]
}

Menggunakan kredensil untuk IAM penggunaDevUser, pengguna mencoba untuk mengasumsikan DeveloperRole menggunakan permintaan berikut AWS CLI .

contoh AssumeRole CLIPermintaan contoh

aws sts assume-role \
--role-arn arn:aws:iam::123456789012:role/Developer_Role \
--role-session-name Dev-project \ 
--source-identity DevUser \

Saat AWS mengevaluasi permintaan, konteks permintaan berisi sts:SourceIdentity dari. DevUser

Menentukan identitas sumber ketika mengasumsikan peran

Anda dapat menentukan identitas sumber saat menggunakan salah satu AWS STS AssumeRole* API operasi untuk mendapatkan kredensil keamanan sementara untuk suatu peran. APIOperasi yang Anda gunakan berbeda tergantung pada kasus penggunaan Anda. Misalnya, jika Anda menggunakan IAM peran untuk memberi IAM pengguna akses ke AWS sumber daya yang biasanya tidak dapat mereka akses, Anda dapat menggunakan AssumeRole operasi tersebut. Jika Anda menggunakan federasi identitas perusahaan untuk mengelola pengguna tenaga kerja Anda, Anda dapat menggunakan operasi AssumeRoleWithSAML. Jika Anda menggunakan OIDC federasi untuk mengizinkan pengguna akhir mengakses aplikasi seluler atau web Anda, Anda dapat menggunakan AssumeRoleWithWebIdentity operasi tersebut. Bagian berikut menjelaskan cara menggunakan identitas sumber dengan setiap operasi. Untuk mempelajari selengkapnya tentang skenario umum untuk kredensial sementara, lihat Skenario umum untuk kredensial sementara.

Menggunakan identitas sumber dengan AssumeRole

AssumeRoleOperasi mengembalikan satu set kredensi sementara yang dapat Anda gunakan untuk mengakses AWS sumber daya. Anda dapat menggunakan kredensi IAM pengguna atau peran untuk menelepon. AssumeRole Untuk meneruskan identitas sumber sambil mengambil peran, gunakan -–source-identity AWS CLI opsi atau SourceIdentity AWS API parameter. Contoh berikut menunjukkan cara menentukan identitas sumber menggunakan AWS CLI.

contoh AssumeRole CLIPermintaan contoh

aws sts assume-role \
--role-arn arn:aws:iam::123456789012:role/developer \
--role-session-name Audit \ 
--source-identity Admin \
            

Menggunakan identitas sumber dengan AssumeRoleWith SAML

Kepala sekolah yang memanggil AssumeRoleWithSAML operasi diautentikasi menggunakan federasi SAML berbasis. Operasi ini mengembalikan satu set kredensi sementara yang dapat Anda gunakan untuk mengakses AWS sumber daya. Untuk informasi selengkapnya tentang penggunaan federasi SAML berbasis untuk AWS Management Console akses, lihatMengaktifkan pengguna federasi SAMP 2.0 untuk mengakses AWS Management Console. Untuk detail tentang AWS CLI atau AWS API akses, lihatSAML2.0 federasi. Untuk tutorial menyiapkan SAML federasi untuk pengguna Active Directory Anda, lihat AWS Otentikasi Federasi dengan Layanan Federasi Direktori Aktif (ADFS) di Blog AWS Keamanan.

Sebagai administrator, Anda dapat mengizinkan anggota direktori perusahaan Anda untuk bergabung AWS menggunakan AWS STS AssumeRoleWithSAML operasi. Untuk melakukannya, Anda harus menyelesaikan tugas berikut:

1. Konfigurasikan SAML penyedia di organisasi Anda.

2. Buat SAML penyedia di IAM.

3. Konfigurasikan peran dan izinnya AWS untuk pengguna federasi Anda.

4. Selesai mengkonfigurasi SAML IDP dan membuat pernyataan untuk respon otentikasi. SAML

Untuk menetapkan SAML atribut untuk identitas sumber, sertakan Attribute elemen dengan Name atribut yang disetel kehttps://aws.amazon.com/SAML/Attributes/SourceIdentity. Gunakan elemen AttributeValue untuk menentukan nilai identitas sumber. Misalnya, anggap Anda ingin meneruskan atribut identitas berikut sebagai identitas sumber.

SourceIdentity:DiegoRamirez

Untuk meneruskan atribut ini, sertakan elemen berikut dalam SAML pernyataan Anda.

contoh Contoh cuplikan pernyataan SAML

<Attribute Name="https://aws.amazon.com/SAML/Attributes/SourceIdentity">
<AttributeValue>DiegoRamirez</AttributeValue>
</Attribute>

Menggunakan identitas sumber dengan AssumeRoleWithWebIdentity

Pemanggilan utama AssumeRoleWithWebIdentity operasi diautentikasi menggunakan federasi yang sesuai dengan OpenID OIDC Connect (). Operasi ini menghasilkan serangkaian kredensial sementara yang dapat Anda gunakan untuk mengakses sumber daya AWS . Untuk informasi selengkapnya tentang penggunaan OIDC federasi untuk AWS Management Console akses, lihatOIDCfederasi.

Untuk meneruskan identitas sumber dari OpenID Connect (OIDC), Anda harus menyertakan identitas sumber di JSON Web Token ()JWT. Sertakan identitas sumber dalam namespace https://aws.amazon.com/source_identity dalam token ketika Anda mengajukan permintaan AssumeRoleWithWebIdentity. Untuk mempelajari lebih lanjut tentang OIDC token dan klaim, lihat Menggunakan Token dengan Kumpulan Pengguna di Panduan Amazon Cognito Pengembang.

Misalnya, decoded berikut JWT adalah token yang digunakan untuk memanggil AssumeRoleWithWebIdentity dengan identitas Admin sumber.

contoh Contoh Token Web yang didekodekan JSON

{
    "sub": "johndoe",
    "aud": "ac_oic_client",
    "jti": "ZYUCeRMQVtqHypVPWAN3VB",
    "iss": "https://xyz.com",
    "iat": 1566583294,
    "exp": 1566583354,
    "auth_time": 1566583292,
    "https://aws.amazon.com/source_identity":"Admin"
}

Mengontrol akses menggunakan informasi identitas sumber

Ketika identitas sumber awalnya ditetapkan, SourceIdentity kunci sts: ada dalam permintaan. Setelah identitas sumber disetel, SourceIdentity kunci aws: hadir di semua permintaan berikutnya yang dibuat selama sesi peran. Sebagai administrator, Anda dapat menulis kebijakan yang memberikan otorisasi bersyarat untuk melakukan AWS tindakan berdasarkan keberadaan atau nilai atribut identitas sumber.

Bayangkan Anda ingin meminta pengembang Anda untuk menetapkan identitas sumber untuk mengambil peran penting yang memiliki izin untuk menulis ke AWS sumber daya penting produksi. Juga bayangkan bahwa Anda memberikan AWS akses ke identitas tenaga kerja Anda menggunakan. AssumeRoleWithSAML Anda hanya ingin developer senior Saanvi dan Diego memiliki akses ke peran, sehingga Anda membuat kebijakan kepercayaan berikut untuk peran tersebut.

contoh Contoh kebijakan kepercayaan peran untuk identitas sumber (SAML)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SAMLProviderAssumeRoleWithSAML",
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::111122223333:saml-provider/name-of-identity-provider"
      },
      "Action": [
        "sts:AssumeRoleWithSAML"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    },
    {
      "Sid": "SetSourceIdentitySrEngs",
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::111122223333:saml-provider/name-of-identity-provider"
      },
      "Action": [
        "sts:SetSourceIdentity"
      ],
      "Condition": {
        "StringLike": {
          "sts:SourceIdentity": [
            "Saanvi",
            "Diego"
          ]
        }
      }
    }
  ]
}

Kebijakan kepercayaan berisi syarat untuk sts:SourceIdentity itu membutuhkan identitas sumber Saanvi atau Diego untuk mengambil peran penting.

Atau, jika Anda menggunakan OIDC penyedia untuk federasi dan pengguna diautentikasiAssumeRoleWithWebIdentity, kebijakan kepercayaan peran Anda mungkin terlihat sebagai berikut.

contoh Contoh kebijakan kepercayaan peran untuk identitas sumber (OIDCpenyedia)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::111122223333:oidc-provider/server.example.com"
      },
      "Action": [
        "sts:AssumeRoleWithWebIdentity",
        "sts:SetSourceIdentity"
      ],
      "Condition": {
        "StringEquals": {
          "server.example.com:aud": "oidc-audience-id"
        },
        "StringLike": {
          "sts:SourceIdentity": [
            "Saanvi",
            "Diego"
          ]
        }
      }
    }
  ]
}

Peran perangkauan dan persyaratan lintas akun

Bayangkan Anda ingin mengizinkan pengguna yang mengasumsikan CriticalRole untuk mengambil CriticalRole_2 di akun lain. Kredensial sesi peran yang diperoleh untuk mengasumsikan CriticalRole digunakan untuk merangkai peran untuk peran kedua, CriticalRole_2, di akun yang berbeda. Peran sedang diasumsikan di batas akun. Oleh karena itu, izin sts:SetSourceIdentity harus diberikan dalam kedua kebijakan izin pada CriticalRole dan dalam kebijakan kepercayaan peran di CriticalRole_2.

contoh Contoh kebijakan izin pada CriticalRole

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AssumeRoleAndSetSourceIdentity",
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity"
      ],
      "Resource": "arn:aws:iam::222222222222:role/CriticalRole_2"
    }
  ]
}

Untuk mengamankan pengaturan sumber identitas di batas akun, kebijakan kepercayaan peran berikut hanya mempercayai peran utama untuk CriticalRole guna mengatur identitas sumber.

contoh Contoh kebijakan kepercayaan peran pada CriticalRole _2

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111111111111:role/CriticalRole"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity"
      ],
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": ["Saanvi","Diego"]
        }
      }
    }
  ]
}

Pengguna membuat panggilan berikut menggunakan kredensi sesi peran yang diperoleh dari asumsi. CriticalRole Identitas sumber ditetapkan selama asumsi CriticalRole, sehingga tidak perlu diatur lagi secara eksplisit. Jika pengguna mencoba untuk mengatur identitas sumber yang berbeda dari nilai yang ditetapkan ketika diasumsikan CriticalRole, permintaan peran asumsi akan ditolak.

contoh AssumeRole CLIPermintaan contoh

aws sts assume-role \ 
--role-arn arn:aws:iam::222222222222:role/CriticalRole_2 \
--role-session-name Audit \

Ketika penanggung jawab panggilan mengasumsikan peran, identitas sumber dalam permintaan tetap dari sesi peran diasumsikan pertama. Oleh karena itu, kedua kunci aws:SourceIdentity dan sts:SourceIdentity terdapat dalam konteks permintaan.

Melihat identitas sumber di CloudTrail

Anda dapat menggunakan CloudTrail untuk melihat permintaan yang dibuat untuk mengambil peran atau pengguna federasi. Anda juga dapat melihat peran atau permintaan pengguna untuk mengambil tindakan dalam AWS. File CloudTrail log mencakup informasi tentang identitas sumber yang ditetapkan untuk peran yang diasumsikan atau sesi pengguna federasi. Untuk informasi selengkapnya, silakan lihat Penebangan IAM dan AWS STS APIpanggilan dengan AWS CloudTrail

Misalnya, asumsikan bahwa pengguna membuat AWS STS AssumeRole permintaan, dan menetapkan identitas sumber. Anda dapat menemukan sourceIdentity informasi di requestParameters kunci di CloudTrail log Anda.

contoh Contoh requestParameters bagian dalam AWS CloudTrail log

"eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AIDAJ45Q7YFFAREXAMPLE",
        "accountId": "111122223333"
    },
    "eventTime": "2020-04-02T18:20:53Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "203.0.113.64",
    "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
    "requestParameters": {
        "roleArn": "arn:aws:iam::123456789012:role/DevRole",
        "roleSessionName": "Dev1",
        "sourceIdentity": "source-identity-value-set"
    }

Jika pengguna menggunakan sesi peran yang diasumsikan untuk melakukan tindakan, informasi identitas sumber ada di userIdentity kunci di CloudTrail log.

contoh Contoh userIdentity kunci dalam AWS CloudTrail log

{
  "eventVersion": "1.08",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAJ45Q7YFFAREXAMPLE:Dev1",
    "arn": "arn:aws:sts::123456789012:assumed-role/DevRole/Dev1",
    "accountId": "123456789012",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAJ45Q7YFFAREXAMPLE",
        "arn": "arn:aws:iam::123456789012:role/DevRole",
        "accountId": "123456789012",
        "userName": "DevRole"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2021-02-21T23:46:28Z"
      },
      "sourceIdentity": "source-identity-value-present"
    }
  }
}

Untuk melihat contoh AWS STS API peristiwa di CloudTrail log, lihatContoh IAM API peristiwa di CloudTrail log. Untuk detail selengkapnya tentang informasi yang terkandung dalam file CloudTrail log, lihat Referensi CloudTrail Acara di Panduan AWS CloudTrail Pengguna.