Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Termasuk konteks pengguna Pusat IAM Identitas di CloudTrail log
Lake Formation menggunakan fungsionalitas penjual kredenal untuk menyediakan akses sementara ke data Amazon S3. Secara default, ketika pengguna Pusat IAM Identitas mengirimkan kueri ke layanan analitik terintegrasi, CloudTrail log hanya menyertakan IAM peran yang diasumsikan oleh layanan untuk menyediakan akses jangka pendek. Jika Anda menggunakan peran yang ditentukan pengguna untuk mendaftarkan lokasi data Amazon S3 dengan Lake Formation, Anda dapat memilih untuk menyertakan IAM konteks pengguna Pusat Identitas dalam CloudTrail peristiwa, lalu melacak pengguna yang mengakses sumber daya Anda.
penting
Untuk menyertakan permintaan Amazon API S3 tingkat objek di dalam, Anda harus CloudTrail mengaktifkan CloudTrail pencatatan peristiwa untuk bucket dan objek Amazon S3. Untuk inormasi selengkapnya, lihat Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek Amazon S3 di Panduan Pengguna Amazon S3.
Untuk mengaktifkan audit penjual kredenal pada lokasi data lake yang terdaftar dengan peran yang ditentukan pengguna
-
Masuk ke konsol Lake Formation di https://console.aws.amazon.com/lakeformation/
. -
Di navigasi sisi kiri, perluas Administrasi, dan pilih pengaturan Katalog Data.
-
Di bawah Audit yang disempurnakan, pilih Menyebarkan konteks yang disediakan.
-
Pilih Simpan.
Anda juga dapat mengaktifkan opsi audit yang disempurnakan dengan menyetel Parameters
atribut dalam PutDataLakeSettingsoperasi. Secara default, nilai SET_CONTEXT"
parameter diatur ke “true”.
{ "DataLakeSettings": { "Parameters": {"SET_CONTEXT": "true"}, } }
Berikut ini adalah kutipan dari CloudTrail acara dengan opsi audit yang disempurnakan. Log ini mencakup konteks sesi pengguna Pusat IAM Identitas dan IAM peran yang ditentukan pengguna yang diasumsikan oleh Lake Formation untuk mengakses lokasi data Amazon S3. Lihat onBehalfOf
parameter dalam kutipan berikut.
{ "eventVersion":"1.09", "userIdentity":{ "type":"AssumedRole", "principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab", "arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab", "accountId":"123456789012", "accessKeyId":"ASIAW7F7MOX4CQLD4JIZN", "sessionContext":{ "sessionIssuer":{ "type":"Role", "principalId":"AROAW7F7MOX4OYE6FLIFN", "arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole", "accountId":"123456789012", "userName":"accessGrantsTestRole" }, "attributes":{ "creationDate":"2023-08-09T17:24:02Z", "mfaAuthenticated":"false" } }, "onBehalfOf":{ "userId": "<identityStoreUserId>", "identityStoreArn": "arn:aws:identitystore::<restOfIdentityStoreArn>" } }, "eventTime":"2023-08-09T17:25:43Z", "eventSource":"s3.amazonaws.com", "eventName":"GetObject", ....