CloudTrail - AWS Identity and Access Management
CloudTrail 事件結構

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudTrail

產品提供者使用暫時委派存取執行的所有動作都會自動記錄在 AWS CloudTrail 中。這可讓您帳戶中產品提供者活動的完整可見性和可稽核性 AWS 。您可以識別產品提供者所採取的動作、發生的時間,以及執行這些動作的產品提供者帳戶。

為了協助您區分您自己的 IAM 主體所採取的動作,以及具有委派存取權的產品提供者所採取的動作,CloudTrail 事件會在 userIdentity元素invokedByDelegate下包含名為 的新欄位。此欄位包含產品提供者 AWS 的帳戶 ID,讓您輕鬆篩選和稽核所有委派的動作。

CloudTrail 事件結構

下列範例顯示產品提供者使用暫時委派存取所執行動作的 CloudTrail 事件:

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

invokedByDelegate 欄位包含使用委派存取執行動作之產品提供者 AWS 的帳戶 ID。在此範例中,帳戶 444455556666 (產品提供者) 在帳戶 111122223333 (客戶帳戶) 中執行動作。