CloudTrail 사용자 아이덴티티 요소 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail 사용자 아이덴티티 요소

AWS Identity and Access Management(IAM)는 다양한 유형의 자격 증명을 제공합니다. userIdentity 요소에는 요청이 이루어지고 자격 증명이 사용되는 IAM 자격 증명 유형에 관한 세부 정보가 포함됩니다. 임시 자격 증명을 사용하는 경우, 요소는 자격 증명을 획득하는 방법을 보여 줍니다.

예제

IAM 사용자 자격 증명이 있는 userIdentity

다음 예는 Alice라는 IAM 사용자의 자격 증명으로 이루어지는 간단한 요청의 userIdentity 요소를 보여 줍니다.

"userIdentity": { "type": "IAMUser", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "", "userName": "Alice" }

임시 보안 자격 증명을 사용하는 userIdentity

다음 예는 IAM 역할을 수임하여 얻은 임시 보안 자격 증명으로 이루어지는 요청의 userIdentity 요소를 보여 줍니다. 요소에는 자격 증명을 획득한 것으로 간주하는 역할에 대한 추가 세부 정보가 포함됩니다.

"userIdentity": { "type": "AssumedRole", "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName", "accountId": "123456789012", "accessKeyId": "", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAIDPPEZS35WEXAMPLE", "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed", "accountId": "123456789012", "userName": "RoleToBeAssumed" } } }

IAM Identity Center 사용자를 대신한 요청에 대한 userIdentity

다음 예는 IAM Identity Center 사용자를 대신하여 이루어지는 요청의 userIdentity 요소를 보여 줍니다.

"userIdentity": { "type": "IdentityCenterUser", "accountId": "123456789012", "onBehalfOf": { "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1", "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7" }, "credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE" }

필드

userIdentity 요소에 보일 수 있는 필드는 다음과 같습니다.

type

자격 증명의 유형입니다. 다음과 같은 값이 가능합니다.

  • Root - AWS 계정 자격 증명으로 요청이 이루어집니다. userIdentity 유형이 Root이고 계정에 대한 별칭을 설정했다면, userName 필드에 계정 별칭이 포함됩니다. 자세한 내용은 AWS 계정 ID 및 별칭 섹션을 참조하세요.

  • IAMUser - IAM 사용자의 자격 증명으로 요청이 이루어집니다.

  • AssumedRole - AWS Security Token Service(AWS STS) AssumeRole API를 호출하여 역할과 함께 획득한 임시 보안 자격 증명을 사용하여 요청이 이루어집니다. 여기에는 Amazon EC2에 대한 역할교차 계정 API 액세스가 포함될 수 있습니다.

  • Role - 특정 권한을 가진 영구 IAM 자격 증명을 통한 요청이 이루어졌습니다. 역할 세션의 발행자는 항상 해당 역할입니다. 역할에 대한 자세한 내용은 IAM 사용 설명서역할 용어 및 개념을 참조하세요.

  • FederatedUser - AWS STS GetFederationToken API에 대한 호출을 통해 얻은 임시 보안 자격 증명으로 요청이 이루어집니다. sessionIssuer 요소는 API가 루트 또는 IAM 사용자 자격 증명으로 호출되었는지를 나타냅니다.

    임시 보안 자격 증명에 대한 자세한 내용은 IAM 사용 설명서임시 보안 자격 증명을 참조하세요.

  • Directory - Directory Service에 대한 요청이 이루어지며 유형은 알 수 없습니다. 디렉터리 서비스에는 Amazon WorkDocs 및 Amazon이 포함됩니다 QuickSight.

  • AWSAccount - 다른 AWS 계정에 의한 요청이 이루어집니다.

  • AWSService - AWS 서비스에 속한 AWS 계정에 의한 요청이 이루어집니다. 예를 들어, AWS Elastic Beanstalk는 계정의 IAM 역할을 맡아 사용자를 대신하여 다른 AWS 서비스를 호출합니다.

  • IdentityCenterUser - IAM Identity Center 사용자를 대신하여 요청이 이루어집니다.

  • Unknown— 확인할 CloudTrail 수 없는 ID 유형으로 요청이 이루어졌습니다.

선택 사항: False

AWSAccountAWSService는 사용자가 소유한 IAM 역할을 사용하는 교차 계정 액세스가 있는 경우 로그의 type에 표시됩니다.

예: 다른 AWS 계정에서 시작된 교차 계정 액세스
  1. 사용자가 계정의 IAM 역할을 소유합니다.

  2. 다른 AWS 계정이 해당 역할로 전환하여 계정에 대한 역할을 수임합니다.

  3. 사용자는 IAM 역할을 소유하고 있으므로 다른 계정이 역할을 맡았음을 보여 주는 로그를 수신합니다. typeAWSAccount입니다. 로그 항목의 예는 CloudTrail 로그 파일의 AWS STS API 이벤트를 참조하십시오.

예: AWS 서비스에서 시작된 교차 계정 액세스
  1. 사용자가 계정의 IAM 역할을 소유합니다.

  2. AWS 서비스에서 소유한 AWS 계정이 해당 역할을 수임합니다.

  3. 사용자는 IAM 역할을 소유하고 있으므로 AWS 서비스가 역할을 맡았음을 보여 주는 로그를 수신합니다. typeAWSService입니다.

userName

호출이 이루어지는 자격 증명의 표시 이름입니다. userName에 표시되는 값은 type의 값을 기반으로 합니다. 다음 표는 typeuserName 사이의 관계를 보여 줍니다.

type userName 설명
Root(별칭 설정 없음) 존재하지 않음 AWS 계정에 대한 별칭을 설정하지 않았다면, userName 필드는 표시되지 않습니다. 계정 별칭에 대한 자세한 내용은 AWS 계정 ID 및 별칭 섹션을 참조하세요. 참고로 userName 필드는 Root을 포함할 수 없습니다. Root는 사용자 이름이 아니라 자격 증명 유형이기 때문입니다.
Root(별칭 설정) 계정 별칭 AWS 계정 별칭에 대한 자세한 내용은 AWS 계정 ID 및 별칭 섹션을 참조하세요.
IAMUser IAM 사용자의 사용자 이름

AssumedRole

존재하지 않음 AssumedRole 유형의 경우, sessionIssuer 요소의 일부로 sessionContext에서 userName 필드를 찾을 수 있습니다. 예제 항목은 예제를 참조하세요.

Role

사용자 정의 sessionContextsessionIssuer 섹션에서는 역할에 대한 세션을 발행한 자격 증명에 관한 정보가 제공됩니다.
FederatedUser 존재하지 않음 sessionContextsessionIssuer 섹션에는 연합된 사용자에 대한 세션을 발행한 자격 증명에 관한 정보가 포함됩니다.
Directory 있을 수 있음 예를 들어 값은 연결된 AWS 계정 ID계정 별칭 또는 이메일 주소일 수 있습니다.
AWSService 존재하지 않음
AWSAccount 존재하지 않음
IdentityCenterUser 존재하지 않음 onBehalfOf 섹션에는 호출이 이루어진 IAM Identity Center 사용자 ID 및 호출이 이루어지는 자격 증명 스토어 ARN에 대한 정보가 포함되어 있습니다. IAM Identity Center에 대한 자세한 내용은 AWS IAM Identity Center 사용 설명서를 참조하세요.
Unknown 있을 수 있음 예를 들어 값은 연결된 AWS 계정 ID계정 별칭 또는 이메일 주소일 수 있습니다.

선택 사항: True

참고

기록된 이벤트가 잘못된 사용자 이름 입력으로 인한 콘솔 로그인 실패인 경우 userName 필드에는 HIDDEN_DUE_TO_SECURITY_REASONS 문자열이 포함됩니다. CloudTrail 다음 예와 같이 텍스트에 민감한 정보가 포함될 수 있으므로 이 경우에는 내용을 기록하지 않습니다.

  • 사용자가 우발적으로 사용자 이름 필드에 암호를 입력합니다.

  • 사용자가 AWS 계정의 로그인 페이지 링크를 클릭했지만 다른 계정의 계정 번호를 입력합니다.

  • 사용자가 우발적으로 개인 이메일 계정의 사용자 이름, 금융 서비스 로그인 식별자, 또는 기타 프라이빗 ID를 입력합니다.

principalId

호출이 이루어지는 개체에 대한 고유 식별자입니다. 임시 보안 자격 증명으로 요청이 이루어진 경우 이 값에는 AssumeRole, AssumeRoleWithWebIdentity 또는 GetFederationToken API 호출로 전달된 세션 이름이 포함됩니다.

선택 사항: True

arn

호출이 이루어지는 보안 주체의 Amazon 리소스 이름(ARN)입니다. ARN의 마지막 섹션에는 호출이 이루어지는 사용자 또는 역할이 포함됩니다.

선택 사항: True

accountId

요청에 대한 권한을 허용하는 개체를 소유한 계정입니다. 임시 보안 자격 증명으로 요청이 이루어진 경우 이 필드는 자격 증명을 얻는 데 사용한 IAM 사용자 또는 역할을 소유한 계정입니다.

IAM Identity Center 승인 액세스 토큰으로 요청이 이루어진 경우, 이 계정은 IAM Identity Center 인스턴스를 소유한 계정입니다.

선택 사항: True

accessKeyId

요청을 서명하는 데 사용된 액세스 키 ID입니다. 임시 보안 자격 증명으로 요청이 이루어진 경우 임시 자격 증명의 액세스 키 ID가 됩니다. 보안상의 이유로 accessKeyId는 없거나 빈 문자열로 표시될 수 있습니다.

선택 사항: True

sessionContext

임시 보안 자격 증명으로 요청이 이루어진 경우 sessionContext는 해당 자격 증명에 대해 생성한 세션에 관한 정보를 제공합니다. 임시 자격 증명을 반환하는 API가 호출될 때 세션을 생성합니다. 또한 사용자가 콘솔에서 작업하고 다중 요소 인증을 포함한 API를 통해 요청할 때 세선을 생성합니다. 이 요소는 다음 속성을 가집니다.

  • creationDate - 임시 보안 자격 증명이 발급된 날짜 및 시간입니다. ISO 8601 기본 표기법으로 표시됩니다.

  • mfaAuthenticated - 요청에 사용된 자격 증명을 소유한 루트 사용자 또는 IAM 사용자가 MFA 디바이스로 인증을 받았다면, 값은 true가 되고, 인증을 받지 않았다면 false가 됩니다.

  • sourceIdentity - 이 주제의 AWS STS 소스 자격 증명를 참조하세요. sourceIdentity 필드는 사용자가 작업을 수행하기 위해 IAM 역할을 맡을 때 이벤트에서 발견됩니다. sourceIdentity는 해당 사용자의 자격 증명이 IAM 사용자, IAM 역할, SAML 기반 연동을 통하여 인증된 사용자 또는 OpenID Connect(OIDC) 호환 웹 자격 증명 연동을 사용하여 인증된 사용자인지 여부와 관계없이 요청을 수행하는 원래 사용자 자격 증명을 식별합니다. 소스 자격 증명 정보 수집하기 위한 AWS STS 구성에 대한 자세한 내용은 IAM 사용 설명서수임된 역할로 수행한 작업 모니터링 및 제어를 참조하세요.

  • ec2RoleDelivery - Amazon EC2 인스턴스 메타데이터 서비스 버전 1(IMDSv1)에서 자격 증명이 제공된 경우 값은 1.0입니다. 새로운 IMDS 스키마를 사용하여 자격 증명이 제공된 경우 값은 2.0입니다.

    AWSAmazon EC2 인스턴스 메타데이터 서비스 (IMDS) 에서 제공하는 자격 증명에는 ec2: RoleDelivery IAM 컨텍스트 키가 포함됩니다. 이 컨텍스트 키를 사용하면 IAM 정책, 리소스 정책 service-by-service 또는 서비스 제어 정책의 조건으로 컨텍스트 키를 사용하여 새 체계를 또는 resource-by-resource 기반으로 쉽게 적용할 수 있습니다. AWS Organizations 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서인스턴스 메타데이터 및 사용자 데이터를 참조하십시오.

선택 사항: True

invokedBy

Amazon EC2 Auto Scaling과 AWS 서비스 같은 회사에서 요청하는 경우 요청한 사람의 이름 또는 AWS 서비스 AWS Elastic Beanstalk 이 필드는 사용자가 요청하는 경우에만 표시됩니다. AWS 서비스 여기에는 정방향 액세스 세션 (AWS 서비스FAS), 주도자, 서비스 연결 역할 또는 에서 사용하는 서비스 역할을 사용하는 서비스에서 이루어진 요청이 포함됩니다. AWS 서비스

선택 사항: True

sessionIssuer

사용자가 임시 보안 자격 증명으로 요청을 하면, sessionIssuer는 사용자가 자격 증명을 획득하는 방법에 관한 정보를 제공합니다. 예를 들어, 사용자가 역할을 맡아 임시 보안 자격 증명을 획득했다면, 이 요소는 가정한 역할에 관한 정보를 제공합니다. AWS STS GetFederationToken을 호출하는 루트 또는 IAM 사용자 자격 증명을 사용하여 자격 증명을 획득했다면, 요소는 루트 계정 또는 IAM 사용자에 관한 정보를 제공합니다. 이 요소는 다음 속성을 가집니다.

  • type - 임시 보안 자격 증명의 소스입니다(예: Root, IAMUser 또는 Role).

  • userName - 세션을 발급한 사용자 또는 역할의 표시 이름입니다. 표시되는 값은 sessionIssuer 자격 증명 type 유형에 따라 달라집니다. 다음 표는 sessionIssuer typeuserName 사이의 관계를 보여 줍니다.

    sessionIssuer 유형 userName 설명
    Root(별칭 설정 없음) 존재하지 않음 계정에 대한 별칭을 설정하지 않은 경우 userName 필드가 표시되지 않습니다. AWS 계정 별칭에 대한 자세한 내용은 AWS 계정 ID 및 별칭 섹션을 참조하세요. 참고로 userName 필드에는 Root를 포함할 수 없습니다. Root는 사용자 이름이 아니라 자격 증명 유형이기 때문입니다.
    Root(별칭 설정) 계정 별칭 AWS 계정 별칭에 대한 자세한 내용은 AWS 계정 ID 및 별칭 섹션을 참조하세요.
    IAMUser IAM 사용자의 사용자 이름 또한 IAMUser가 발행한 세션을 연합된 사용자가 사용하는 경우에도 적용됩니다.
    Role 역할 이름 역할 세션에서 IAM 사용자, AWS 서비스 또는 웹 자격 증명 연동 사용자가 맡은 역할입니다.
  • principalId - 자격 증명을 가져오는 데 사용하는 엔터티의 내부 ID입니다.

  • arn - 임시 보안 자격 증명을 가져오는 데 사용되는 소스(계정, IAM 사용자 또는 역할)의 ARN입니다.

  • accountId - 자격 증명을 가져오는 데 사용되는 엔터티를 소유한 계정입니다.

선택 사항: True

onBehalfOf

IAM Identity Center 호출자에 의해 요청이 이루어진 경우, onBehalfOf는 호출이 이루어진 IAM Identity Center 사용자 ID 및 자격 증명 저장소 ARN에 대한 정보를 제공합니다. 이 요소는 다음 속성을 가집니다.

  • userId - 대신 호출한 IAM Identity Center 사용자의 ID입니다.

  • identityStoreArn - 대신 호출한 IAM Identity Center Identity Store의 ARN입니다.

선택 사항: True

credentialId

요청의 자격 증명 ID입니다. 이는 호출자가 IAM Identity Center 승인 액세스 토큰과 같은 보유자 토큰을 사용하는 경우에만 설정됩니다.

선택 사항: True

webIdFederationData

웹 자격 증명 연동을 사용하여 획득한 임시 보안 자격 증명으로 요청이 이루어지는 경우, webIdFederationData는 자격 증명 제공업체에 관한 정보를 나열합니다. 이 요소는 다음 속성을 가집니다.

  • federatedProvider - 자격 증명 공급자의 보안 주체 이름입니다(예: Login with Amazon의 경우 www.amazon.com 또는 Google의 경우 accounts.google.com).

  • attributes - 공급자가 보고하는 애플리케이션 ID 및 사용자 ID입니다(예: Login with Amazon의 경우 www.amazon.com:app_idwww.amazon.com:user_id).

선택 사항: True

SAML 및 웹 자격 증명 연동을 사용하는 AWS STS API의 값

AWS CloudTrail는 SAML(Security Assertion Markup Language) 및 웹 자격 증명 연동을 통해 수행된 AWS Security Token Service(AWS STS) API 호출 로깅을 지원합니다. 사용자가 AssumeRoleWithSAMLAssumeRoleWithWebIdentityAPI를 호출하면 호출을 CloudTrail 녹음하고 Amazon S3 버킷으로 이벤트를 전송합니다.

이러한 API의 userIdentity 요소에는 다음과 같은 값이 포함됩니다.

type

자격 증명 유형입니다.

  • SAMLUser - SAML 어설션으로 요청이 이루어집니다.

  • WebIdentityUser - 웹 자격 증명 연동 공급자에 의해 요청이 이루어집니다.

principalId

호출이 이루어지는 개체에 대한 고유 식별자입니다.

  • SAMLUser의 경우 saml:namequalifiersaml:sub 키의 조합입니다.

  • WebIdentityUser의 경우 발행자, 애플리케이션 ID 및 사용자 ID의 조합입니다.

userName

호출이 이루어지는 자격 증명의 이름입니다.

  • SAMLUser의 경우 saml:sub 키입니다.

  • WebIdentityUser의 경우 사용자 ID입니다.

identityProvider

외부 자격 증명 제공업체의 보안 주체 이름입니다. 이 필드는 SAMLUser 또는 WebIdentityUser 유형에만 나타납니다.

  • SAMLUser의 경우 SAML 어설션에 대한 saml:namequalifier 키입니다.

  • WebIdentityUser의 경우 웹 자격 증명 연동 제공업체의 발행자 이름입니다. 다음과 같이 구성된 제공업체일 수 있습니다.

    • Amazon Cognito의 경우 cognito-identity.amazon.com

    • Amazon을 사용한 로그인은 www.amazon.com

    • Google은 accounts.google.com

    • Facebook은 graph.facebook.com

다음은 AssumeRoleWithWebIdentity 작업에 대한 예제 userIdentity 요소입니다.

"userIdentity": { "type": "WebIdentityUser", "principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id", "userName": "user-id", "identityProvider": "accounts.google.com" }

SAMLUserWebIdentityUser 유형에 userIdentity 요소를 표시하는 방법에 대한 예제 로그는 AWS CloudTrail을 사용하여 IAM 및 AWS STS API 호출 섹션을 참조하세요.

AWS STS 소스 자격 증명

IAM 관리자는 AWS Security Token Service를 구성함으로써 사용자가 임시 자격 증명을 사용하여 역할을 맡을 때 해당 자격 증명을 지정하도록 요구할 수 있습니다. sourceIdentity 필드는 사용자가 IAM 역할을 맡거나 수임된 역할로 작업을 수행할 때 이벤트에서 발견됩니다.

sourceIdentity 필드는 해당 사용자의 자격 증명이 IAM 사용자, IAM 역할, SAML 기반 연동을 사용하여 인증된 사용자 또는 OpenID Connect(OIDC) 호환 웹 자격 증명 연동을 사용하여 인증된 사용자인지 여부와 관계없이 요청을 수행하는 원래 사용자 자격 증명을 식별합니다. IAM 관리자가 구성한 후에는 이벤트 레코드 AWS STS 내의 다음 이벤트 및 위치에 sourceIdentity 정보를 CloudTrail 기록합니다.

  • 사용자 자격 증명이 역할을 맡을 때 수행하는 AWS STS AssumeRole, AssumeRoleWithSAML 또는 AssumeRoleWithWebIdentity 호출. sourceIdentity는 AWS STS 호출의 requestParameters 블록에서 찾을 수 있습니다.

  • 사용자 자격 증명이 역할을 사용하여 또 다른 역할을 맡는(역할 함께 묶기라고 함) 경우에 수행하는 AWS STS AssumeRole, AssumeRoleWithSAML 또는 AssumeRoleWithWebIdentity 호출. sourceIdentity는 AWS STS 호출의 requestParameters 블록에서 찾을 수 있습니다.

  • 사용자 자격 증명이 역할을 맡고 AWS STS에서 할당한 임시 자격 증명을 사용하는 동안 수행하는 AWS 서비스 API 호출. 서비스 API 이벤트에서 sourceIdentitysessionContext 블록에서 찾을 수 있습니다. 예를 들어 사용자 자격 증명이 새 S3 버킷을 생성하는 경우 sourceIdentityCreateBucket 이벤트의 sessionContext 블록에서 발견됩니다.

AWS STS를 구성하여 소스 자격 증명 정보를 수집하는 방법에 대한 자세한 내용은 IAM 사용 설명서수임된 역할로 수행한 작업 모니터링 및 제어 단원을 참조하세요. 기록되는 AWS STS 이벤트에 대한 자세한 내용은 IAM 사용 CloudTrail 설명서의 IAM 및 AWS STS API 호출 로깅을 참조하십시오. AWS CloudTrail

다음은 sourceIdentity 필드를 표시하는 이벤트의 코드 조각 예입니다.

requestParameters 섹션 예

다음 이벤트 코드 조각 예에서 사용자는 AWS STS AssumeRole 요청을 수행하고 여기에서 source-identity-value-set으로 표시되는 소스 자격 증명을 설정합니다. 사용자는 역할 ARN arn:aws:iam::123456789012:role/Assumed_Role로 표시되는 역할을 맡습니다. sourceIdentity 필드는 이벤트의 requestParameters 블록에 있습니다.

"eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "accountId": "123456789012" }, "eventTime": "2020-04-02T18:20:53Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRole", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.64", "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86", "requestParameters": { "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role", "roleSessionName": "Test1", "sourceIdentity": "source-identity-value-set", },

responseElements 섹션 예

다음 이벤트 코드 조각 예에서 사용자는 AWS STS AssumeRole 요청을 수행하여 Developer_Role이라는 역할을 맡고 소스 자격 증명인 Admin을 설정합니다. 사용자는 역할 ARN arn:aws:iam::111122223333:role/Developer_Role로 표시되는 역할을 맡습니다. sourceIdentity 필드는 이벤트의 requestParametersresponseElements 블록 모두에 나와 있습니다. 역할을 맡는 데 사용되는 임시 자격 증명, 세션 토큰 문자열 그리고 수임된 역할 ID, 세션 이름 및 세션 ARN은 소스 자격 증명과 함께 responseElements 블록에 나와 있습니다.

"requestParameters": { "roleArn": "arn:aws:iam::111122223333:role/Developer_Role", "roleSessionName": "Session_Name", "sourceIdentity": "Admin" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "expiration": "Jan 22, 2021 12:46:28 AM", "sessionToken": "XXYYaz... EXAMPLE_SESSION_TOKEN XXyYaZAz" }, "assumedRoleUser": { "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name", "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name" }, "sourceIdentity": "Admin" } ...

sessionContext 섹션 예

다음 이벤트 코드 조각 예에서 사용자는 DevRole이라는 역할을 맡아서 AWS 서비스 API를 호출합니다. 사용자는 소스 ID를 설정합니다 (여기서는 로 표시됨). source-identity-value-set sourceIdentity 필드는 이벤트의 userIdentity 블록 내 sessionContext 블록에 있습니다.

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1", "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAJ45Q7YFFAREXAMPLE", "arn": "arn: aws: iam: : 123456789012: role/DevRole", "accountId": "123456789012", "userName": "DevRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-02-21T23: 46: 28Z" }, "sourceIdentity": "source-identity-value-set" } } }