CloudTrail - AWS Identity and Access Management
CloudTrail Struktur Acara

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudTrail

Semua tindakan yang dilakukan oleh penyedia produk menggunakan akses delegasi sementara secara otomatis masuk AWS CloudTrail. Ini memberikan visibilitas lengkap dan auditabilitas aktivitas penyedia produk di akun Anda AWS . Anda dapat mengidentifikasi tindakan mana yang diambil oleh penyedia produk, kapan itu terjadi, dan akun penyedia produk mana yang melakukannya.

Untuk membantu Anda membedakan antara tindakan yang diambil oleh prinsipal IAM Anda sendiri dan tindakan yang diambil oleh penyedia produk dengan akses yang didelegasikan, CloudTrail acara menyertakan bidang baru yang disebut di bawah elemen. invokedByDelegate userIdentity Bidang ini berisi ID AWS akun penyedia produk, sehingga mudah untuk memfilter dan mengaudit semua tindakan yang didelegasikan.

CloudTrail Struktur Acara

Contoh berikut menunjukkan CloudTrail peristiwa untuk tindakan yang dilakukan oleh penyedia produk menggunakan akses yang didelegasikan sementara:

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

invokedByDelegateKolom berisi ID AWS akun penyedia produk yang melakukan tindakan menggunakan akses yang didelegasikan. Dalam contoh ini, akun 444455556666 (penyedia produk) melakukan tindakan di akun 111122223333 (akun pelanggan).