Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Protokollierung von IAM- und AWS STS API-Aufrufen mit AWS CloudTrail
IAM und AWS STS sind in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der von einem IAM-Benutzer oder einer IAM-Rolle ausgeführten Aktionen bereitstellt. CloudTrail erfasst alle API-Aufrufe für IAM und AWS STS als Ereignisse, einschließlich Aufrufe von der Konsole und von API-Aufrufen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren. Auch wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse in der CloudTrail-Konsole in **Event history (Ereignisverlauf)** anzeigen. Sie können verwenden CloudTrail , um Informationen über die Anfrage abzurufen, die an IAM gestellt wurde oder AWS STS. So können Sie beispielsweise die IP-Adresse, von der aus die Anforderung gestellt wurde, wer die Anforderung gestellt hat, wann sie gestellt wurde und weitere Details einsehen.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [
## IAM und AWS STS Informationen in CloudTrail
](#iam-info-in-cloudtrail)
+ [
## Protokollierung von IAM- und API-Anfragen AWS STS
](#cloudtrail-integration_apis)
+ [
## Protokollierung von API-Anfragen an andere Dienste AWS
](#cloudtrail-integration_api-other-services)
+ [
## Protokollieren von Benutzeranmeldeereignissen
](#cloudtrail-integration_signin-users)
+ [
## Protokollieren von Anmeldeereignissen bei temporären Anmeldeinformationen
](#cloudtrail-integration_signin-tempcreds)
+ [
## Beispiel für IAM-API-Ereignisse im Protokoll CloudTrail
](#cloudtrail-integration_examples-iam-api)
+ [
## Beispiel für AWS STS API-Ereignisse im CloudTrail Protokoll
](#cloudtrail-integration_examples-sts-api)
+ [
## Beispiel für Anmeldeereignisse im Protokoll CloudTrail
](#cloudtrail-integration_examples-signin)
+ [
## Verhalten der IAM-Rollen-Vertrauensrichtlinie
](#cloudtrail-integration_role-trust-behavior)
## IAM und AWS STS Informationen in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn eine Aktivität in IAM oder stattfindet AWS STS, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS-Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, einschließlich Ereignissen für IAM AWS STS, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie ein Trail in der Konsole anlegen, gilt dieser für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
[Alle IAM und alle AWS STS Aktionen werden von der [IAM-API-Referenz CloudTrail und der API-Referenz](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html) protokolliert und sind in diesen dokumentiert.AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/API_Operations.html)
## Protokollierung von IAM- und API-Anfragen AWS STS
CloudTrail protokolliert alle authentifizierten API-Anfragen für IAM- und AWS STS API-Operationen. CloudTrail protokolliert auch nicht authentifizierte Anfragen zu den AWS STS Aktionen `AssumeRoleWithSAML` und`AssumeRoleWithWebIdentity`, und protokolliert die vom Identitätsanbieter bereitgestellten Informationen. Einige nicht authentifizierte AWS STS Anfragen werden jedoch möglicherweise nicht protokolliert, da sie nicht die Mindestanforderung erfüllen, dass sie ausreichend gültig sind, um als legitime Anfrage vertrauenswürdig zu sein. Bei kontoübergreifenden Anfragen zur Rollenübernahme werden abgelehnte AWS STS Anfragen CloudTrail nicht in den Zielkonten protokolliert. CloudTrail
Sie können die protokollierten Informationen verwenden, um Anrufe, die von einem OIDC- oder SAML-Verbundprinzipal mit einer angenommenen Rolle getätigt wurden, dem ursprünglichen externen Verbundanrufer zuzuordnen. Im Fall von `AssumeRole` können Sie Anrufe dem ursprünglichen AWS Dienst oder dem Konto des ursprünglichen Benutzers zuordnen. Der `userIdentity` Abschnitt der JSON-Daten im CloudTrail Protokolleintrag enthält die Informationen, die Sie benötigen, um die AssumeRole\$1 Anfrage einem bestimmten Sitzungsprinzipal zuzuordnen. *Weitere Informationen finden Sie unter [CloudTrail UserIdentity Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) im AWS CloudTrail Benutzerhandbuch.*
AWS CloudTrail Protokolle enthalten MFA-Informationen, wenn sich der IAM-Benutzer mit MFA anmeldet. Wenn der IAM-Benutzer eine IAM-Rolle annimmt, CloudTrail werden auch die `sessionContext` Attribute für Aktionen protokolliert`mfaAuthenticated: true`, die mit der angenommenen Rolle ausgeführt wurden. Die CloudTrail Protokollierung erfolgt jedoch unabhängig von den Anforderungen von IAM, wenn API-Aufrufe mit den Anmeldeinformationen der angenommenen Rolle getätigt werden. Weitere Informationen finden Sie unter [CloudTrail-Element userIdentity](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
Beispielsweise werden alle Aufrufe von IAM`CreateUser`, `DeleteRole``ListGroups`, und anderen API-Vorgängen protokolliert. CloudTrail
Beispiele für solche Protokolleinträge finden Sie weiter hinten in diesem Thema.
## Protokollierung von API-Anfragen an andere Dienste AWS
Authentifizierte Anfragen an andere AWS Dienst-API-Operationen werden von protokolliert CloudTrail, und diese Protokolleinträge enthalten Informationen darüber, wer die Anfrage generiert hat.
Angenommen, Sie haben eine Anforderung gestellt, um Amazon Amazon EC2-Instances aufzulisten oder eine AWS CodeDeploy -Bereitstellungsgruppe zu erstellen. Details über die Person oder Dienstleistung, die die Anforderung gestellt hat, sind im Protokolleintrag dieser Anforderung enthalten. Anhand dieser Informationen können Sie feststellen, ob die Anfrage von dem Root-Benutzer des AWS-Kontos, einem IAM-Benutzer, einer Rolle oder einem anderen AWS Dienst gestellt wurde.
*Weitere Informationen zu den Benutzeridentitätsinformationen in CloudTrail Protokolleinträgen finden Sie unter [UserIdentity Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/event_reference_user_identity.html) im AWS CloudTrail Benutzerhandbuch.*
## Protokollieren von Benutzeranmeldeereignissen
CloudTrail protokolliert Anmeldeereignisse in den lokalen Entwicklungstools wie AWS CLI und AWS-Managementkonsole SDKs, den AWS Diskussionsforen und. AWS Marketplace CloudTrailprotokolliert erfolgreiche und fehlgeschlagene Anmeldeversuche für IAM-Benutzer, SAML- und OIDC-Verbundprinzipale und Verbundbenutzerprinzipale. AWS STS
CloudTrail [https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html#cloudtrail-event-reference-aws-console-sign-in-events-root](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html#cloudtrail-event-reference-aws-console-sign-in-events-root)
Aus Sicherheitsgründen wird der eingegebene Text des IAM-Benutzernamens AWS nicht protokolliert, wenn der Anmeldefehler auf *einen* falschen Benutzernamen zurückzuführen ist. Der Benutzername wird durch den Wert `HIDDEN_DUE_TO_SECURITY_REASONS` maskiert. Ein Beispiel hierzu finden Sie unter [Beispiel für eine Anmeldung, die aufgrund eines falschen Benutzernamens fehlgeschlagen ist.](#hiddensecurity) an späterer Stelle in diesem Thema. Der Benutzername ist verdeckt, da solche Fehler oftmals von Benutzern begangen werden. Durch die Protokollierung dieser Fehler könnten potenziell sensible Informationen offengelegt werden. Zum Beispiel:
+ Sie haben versehentlich Ihr Passwort in das Feld „Benutzername“ eingegeben.
+ Sie wählen den Link für die Anmeldeseite eines Benutzers aus AWS-Konto, geben dann aber die Kontonummer für einen anderen ein. AWS-Konto
+ Ein Benutzer hat vergessen, bei welchem Konto er sich gerade anmeldet, und gibt versehentlich den Kontonamen seines privaten E-Mail-Kontos, seine Bankkontonummer oder eine andere private ID ein.
## Protokollieren von Anmeldeereignissen bei temporären Anmeldeinformationen
Wenn ein Prinzipal temporäre Anmeldeinformationen anfordert, bestimmt der Prinzipaltyp, wie das Ereignis von CloudTrail protokolliert wird. Dies kann kompliziert sein, wenn ein Auftraggeber eine Rolle in einem anderen Konto annimmt. Es gibt mehrere API-Aufrufe, durch die Operationen im Zusammenhang mit kontoübergreifenden Rollenoperationen durchgeführt werden. Zunächst ruft der Principal eine AWS STS API auf, um die temporären Anmeldeinformationen abzurufen. Dieser Vorgang wird im aufrufenden Konto und in dem Konto, in dem der AWS STS Vorgang ausgeführt wird, protokolliert. Anschließend verwendet der Auftraggeber die Rolle, um andere API-Aufrufe im Konto der übernommenen Rolle auszuführen.
Sie können den `sts:SourceIdentity`-Bedingungsschlüssel in der Rollenvertrauensrichtlinie verwenden, damit Benutzer einen Sitzungsnamen angeben müssen, wenn sie eine Rolle übernehmen. Sie können beispielsweise verlangen, dass IAM-Benutzer ihren eigenen Benutzernamen als Sitzungsnamen angeben. Auf diese Weise können Sie feststellen, welcher Benutzer eine bestimmte Aktion in AWS ausgeführt hat. Weitere Informationen finden Sie unter [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity). Sie können auch [`sts:RoleSessionName`](reference_policies_iam-condition-keys.md#ck_rolesessionname) verwenden, um von den Benutzern zu verlangen, dass sie einen Sitzungsnamen angeben, wenn sie eine Rolle übernehmen. Auf diese Weise können Sie bei der Überprüfung der AWS CloudTrail Protokolle zwischen Rollensitzungen für eine Rolle unterscheiden, die von verschiedenen Hauptbenutzern verwendet wird.
Die folgende Tabelle zeigt, wie verschiedene Benutzeridentitätsinformationen für jedes Element CloudTrail protokolliert werden AWS STS APIs , das temporäre Anmeldeinformationen generiert.
****
| Auftraggebertyp | STS-API | Benutzeridentität im CloudTrail Protokoll für das Konto des Anrufers | Benutzeridentität im CloudTrail Protokoll für das Konto der angenommenen Rolle | Benutzeridentität im CloudTrail Protokoll für die nachfolgenden API-Aufrufe der Rolle |
| --- | --- | --- | --- | --- |
| Root-Benutzer des AWS-Kontos Anmeldeinformationen | GetSessionToken | Stammbenutzeridentität | Die Rolle beinhaltendes Konto ist mit aufrufendem Konto identisch | Stammbenutzeridentität |
| Root-Benutzer des AWS-Kontos Referenzen | AssumeRoot | Root-Benutzer-Sitzung | Kontonummer und Prinzipal-ID (bei Benutzern) | Root-Benutzer-Sitzung |
| IAM-Benutzer | GetSessionToken | IAM-Benutzeridentität | Die Rolle beinhaltendes Konto ist mit aufrufendem Konto identisch | IAM-Benutzeridentität |
| IAM-Benutzer | GetFederationToken | IAM-Benutzeridentität | Die Rolle beinhaltendes Konto ist mit aufrufendem Konto identisch | IAM-Benutzeridentität |
| IAM-Benutzer | AssumeRole | IAM-Benutzeridentität | Kontonummer und Prinzipal-ID (falls es sich um einen Benutzer handelt) oder AWS Dienstprinzipal | Nur Rollenidentität (kein Benutzer) |
| Extern authentifizierter Benutzer | AssumeRoleWithSAML | – | SAML-Benutzeridentität | Nur Rollenidentität (kein Benutzer) |
| Extern authentifizierter Benutzer | AssumeRoleWithWebIdentity | – | OIDC/Web-Benutzeridentität | Nur Rollenidentität (kein Benutzer) |
CloudTrail betrachtet eine Aktion als schreibgeschützt, wenn sie keine mutierende Wirkung auf eine Ressource hat. Wenn ein Ereignis protokolliert wird, das nur lesbar ist, werden die Informationen im Protokoll CloudTrail geschwärzt. `responseElements` Wenn ein Ereignis CloudTrail protokolliert wird, das nicht schreibgeschützt ist, wird die vollständige Information im `responseElements` Protokolleintrag angezeigt. Für die AWS STS APIs `AssumeRole``AssumeRoleWithSAML`, und werden`AssumeRoleWithWebIdentity`, obwohl sie schreibgeschützt protokolliert werden, alle Daten enthalten, `responseElements` außer `secretAccessKey` im Protokoll für CloudTrail diese. APIs
Die folgende Tabelle zeigt, wie die CloudTrail Protokolle `responseElements` und `readOnly` Informationen für jedes dieser Elemente temporäre AWS STS APIs Anmeldeinformationen generieren.
****
| STS-API | Informationen zu Antwortelementen | Schreibgeschützt |
| --- | --- | --- |
| AssumeRole | Enthalten | true |
| AssumeRoleWithSAML | Enthalten | true |
| AssumeRoleWithWebIdentity | Enthalten | true |
| AssumeRoot | Enthalten | false |
| GetFederationToken | Enthalten | false |
| GetSessionToken | Enthalten | false |
## Beispiel für IAM-API-Ereignisse im Protokoll CloudTrail
CloudTrail Protokolldateien enthalten Ereignisse, die mit JSON formatiert wurden. Ein API-Ereignis stellt eine einzelne API-Anforderung dar und enthält Informationen zum Auftraggeber, der angeforderten Aktion, etwaigen Parametern und dem Datum und der Uhrzeit der Aktion.
### Beispiel für ein IAM-API-Ereignis in einer Protokolldatei CloudTrail
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine Anfrage für die IAM-Aktion`GetUserPolicy`.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.16.96 Python/2.7.8 Linux/10 botocore/1.12.86",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePoliccyName"
},
"responseElements": null,
"requestID": "9EXAMPLE-0c68-11e4-a24e-d5e16EXAMPLE",
"eventID": "cEXAMPLE-127e-4632-980d-505a4EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "iam.amazonaws.com"
}
}
```
Diesen Ereignisinformationen können Sie im Element `ReadOnlyAccess-JaneDoe-201407151307` entnehmen, dass hier die Benutzerrichtlinie `JaneDoe` für den Benutzer `requestParameters` angefordert wurde. Außerdem können Sie sehen, dass die Anforderung von dem IAM-Benutzer `JaneDoe` am 15. Juli 2014 um 21:40 Uhr (UTC) gemacht wurde. In diesem Fall stammt die Anfrage von AWS-Managementkonsole, wie Sie dem `userAgent` Element entnehmen können.
## Beispiel für AWS STS API-Ereignisse im CloudTrail Protokoll
CloudTrail Protokolldateien enthalten Ereignisse, die mit JSON formatiert sind. Ein API-Ereignis stellt eine einzelne API-Anforderung dar und enthält Informationen zum Auftraggeber, der angeforderten Aktion, etwaigen Parametern und dem Datum und der Uhrzeit der Aktion.
### Beispiel für kontoübergreifende AWS STS API-Ereignisse in Protokolldateien CloudTrail
Der `John` im Konto 777788889999 genannte IAM-Benutzer ruft die AWS STS [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)Aktion auf, um die Rolle im Konto 111122223333 anzunehmen. `EC2-dev` Der Kontoadministrator verlangt, dass Benutzer eine Quellidentität festlegen, die ihrem Benutzernamen entspricht, wenn sie die Rolle übernehmen. Der Benutzer gibt den Wert der Quellidentität von `John`.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAQRSTUVWXYZEXAMPLE",
"arn": "arn:aws:iam::777788889999:user/John",
"accountId": "777788889999",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "John"
},
"eventTime": "2014-07-18T15:07:39Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/EC2-dev",
"roleSessionName": "John-EC2-dev",
"sourceIdentity": "John",
"serialNumber": "arn:aws:iam::777788889999:mfa"
},
"responseElements": {
"credentials": {
"sessionToken": "",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Jul 18, 2023, 4:07:39 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AIDAQRSTUVWXYZEXAMPLE:John-EC2-dev",
"arn": "arn:aws:sts::111122223333:assumed-role/EC2-dev/John-EC2-dev"
},
"sourceIdentity": "John"
},
"resources": [
{
"ARN": "arn:aws:iam::111122223333:role/EC2-dev",
"accountId": "111122223333",
"type": "AWS::IAM::Role"
}
],
"requestID": "4EXAMPLE-0e8d-11e4-96e4-e55c0EXAMPLE",
"sharedEventID": "bEXAMPLE-efea-4a70-b951-19a88EXAMPLE",
"eventID": "dEXAMPLE-ac7f-466c-a608-4ac8dEXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Das zweite Beispiel zeigt den Protokolleintrag des angenommenen Rollenkontos (111122223333) für dieselbe Anfrage. CloudTrail
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AIDAQRSTUVWXYZEXAMPLE",
"accountId": "777788889999"
},
"eventTime": "2014-07-18T15:07:39Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/EC2-dev",
"roleSessionName": "John-EC2-dev",
"sourceIdentity": "John",
"serialNumber": "arn:aws:iam::777788889999:mfa"
},
"responseElements": {
"credentials": {
"sessionToken": "",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Jul 18, 2014, 4:07:39 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AIDAQRSTUVWXYZEXAMPLE:John-EC2-dev",
"arn": "arn:aws:sts::111122223333:assumed-role/EC2-dev/John-EC2-dev"
},
"sourceIdentity": "John"
},
"requestID": "4EXAMPLE-0e8d-11e4-96e4-e55c0EXAMPLE",
"sharedEventID": "bEXAMPLE-efea-4a70-b951-19a88EXAMPLE",
"eventID": "dEXAMPLE-ac7f-466c-a608-4ac8dEXAMPLE"
}
```
### Beispiel für ein API-Ereignis zur AWS STS Rollenverkettung in einer Protokolldatei CloudTrail
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine Anfrage von John Doe im Konto 111111111111. John verwendete zuvor seinen `John`-Benutzer, um die `JohnRole1`-Rolle zu übernehmen. Für diese Anforderung verwendet er die Anmeldeinformationen dieser Rolle, um die `JohnRole2`-Rolle zu übernehmen. Dies wird als [Rollenverkettung](id_roles.md#iam-term-role-chaining) bezeichnet. Die Quellidentität, die er bei der Übernahme der `John1`-Rolle festgelegt hat, bleibt bei der Anforderung, `JohnRole2` zu übernehmen, bestehen. Wenn John versucht, bei der Übernahme der Rolle eine andere Quellidentität festzulegen, wird die Anforderung abgelehnt. John übergibt zwei [Sitzungs-Tags](id_session-tags.md) in die Anforderung. Er setzt diese beiden Tags als transitiv fest. Die Anforderung übernimmt das `Department`-Tag als transitiv, weil John es als transitiv festgelegt hat, als `JohnRole1` übernommen hat. Weitere Informationen zu Quellidentität finden Sie unter [Überwachen und Steuern von Aktionen mit übernommenen Rollen](id_credentials_temp_control-access_monitor.md). Weitere Hinweise zu transitiven Schlüsseln in Rollenketten finden Sie unter [Verkettung von Rollen mit Sitzungs-Tags](id_session-tags.md#id_session-tags_role-chaining).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIN5ATK5U7KEXAMPLE:JohnRole1",
"arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1",
"accountId": "111111111111",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-10-02T21:50:54Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIN5ATK5U7KEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/JohnRole1",
"accountId": "111111111111",
"userName": "John"
},
"sourceIdentity": "John"
}
},
"eventTime": "2019-10-02T22:12:29Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "123.145.67.89",
"userAgent": "aws-cli/1.16.248 Python/3.4.7 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 botocore/1.12.239",
"requestParameters": {
"incomingTransitiveTags": {
"Department": "Engineering"
},
"tags": [
{
"value": "johndoe@example.com",
"key": "Email"
},
{
"value": "12345",
"key": "CostCenter"
}
],
"roleArn": "arn:aws:iam::111111111111:role/JohnRole2",
"roleSessionName": "Role2WithTags",
"sourceIdentity": "John",
"transitiveTagKeys": [
"Email",
"CostCenter"
],
"durationSeconds": 3600
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Oct 2, 2019, 11:12:29 PM",
"sessionToken": "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"
},
"assumedRoleUser": {
"assumedRoleId": "AROAIFR7WHDTSOYQYHFUE:Role2WithTags",
"arn": "arn:aws:sts::111111111111:assumed-role/test-role/Role2WithTags"
},
"sourceIdentity": "John"
},
"requestID": "b96b0e4e-e561-11e9-8b3f-7b396EXAMPLE",
"eventID": "1917948f-3042-46ec-98e2-62865EXAMPLE",
"resources": [
{
"ARN": "arn:aws:iam::111111111111:role/JohnRole2",
"accountId": "111111111111",
"type": "AWS::IAM::Role"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Beispiel für ein AWS AWS STS Service-API-Ereignis in einer Protokolldatei CloudTrail
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine Anfrage, die von einem AWS Dienst gestellt wurde, der mithilfe von Berechtigungen einer Servicerolle eine andere Service-API aufruft. Es zeigt den CloudTrail Protokolleintrag für die Anfrage, die im Konto 777788889999 gestellt wurde.
```
{
"eventVersion": "1.04",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAQRSTUVWXYZEXAMPLE:devdsk",
"arn": "arn:aws:sts::777788889999:assumed-role/AssumeNothing/devdsk",
"accountId": "777788889999",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2016-11-14T17:25:26Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAQRSTUVWXYZEXAMPLE",
"arn": "arn:aws:iam::777788889999:role/AssumeNothing",
"accountId": "777788889999",
"userName": "AssumeNothing"
}
}
},
"eventTime": "2016-11-14T17:25:45Z",
"eventSource": "s3.amazonaws.com",
"eventName": "DeleteBucket",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "[aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67]",
"requestParameters": {
"bucketName": "amzn-s3-demo-bucket"
},
"responseElements": null,
"requestID": "EXAMPLE463D56D4C",
"eventID": "dEXAMPLE-265a-41e0-9352-4401bEXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "777788889999"
}
```
### Beispiel für ein AWS STS SAML-API-Ereignis in der Protokolldatei CloudTrail
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine Anforderung, die für die AWS STS [AssumeRoleWithSAML-Aktion](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) gestellt wurde. Die Anforderung enthält die SAML-Attribute `CostCenter` und `Project`, die durch die SAML-Assertion als [Sitzungs-Tags](id_session-tags.md) übergeben werden. Diese Tags werden als transitiv festgelegt, so dass sie [in Rollenverkettungsszenarien bestehen bleiben](id_session-tags.md#id_session-tags_role-chaining). Die Anfrage enthält den optionalen API-Parameter`DurationSeconds`, der wie `durationSeconds` im CloudTrail Protokoll dargestellt wird, und ist auf `1800` Sekunden festgelegt. Die Anforderung enthält außerdem das SAML-Attribut `sourceIdentity`, das in der SAML-Assertion übergeben wird. Wenn jemand die resultierenden Anmeldeinformationen für die Rollensitzung verwendet, um eine andere Rolle zu übernehmen, bleibt diese Quellidentität bestehen.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "SAMLUser",
"principalId": "SampleUkh1i4+ExamplexL/jEvs=:SamlExample",
"userName": "SamlExample",
"identityProvider": "bdGOnTesti4+ExamplexL/jEvs="
},
"eventTime": "2023-08-28T18:30:58Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRoleWithSAML",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "aws-internal/3 aws-sdk-java/1.12.479 Linux/5.10.186-157.751.amzn2int.x86_64 OpenJDK_64-Bit_Server_VM/17.0.7+11 java/17.0.7 kotlin/1.3.72 vendor/Amazon.com_Inc. cfg/retry-mode/standard",
"requestParameters": {
"sAMLAssertionID": "_c0046cEXAMPLEb9d4b8eEXAMPLE2619aEXAMPLE",
"roleSessionName": "MyAssignedRoleSessionName",
"sourceIdentity": "MySAMLUser",
"principalTags": {
"CostCenter": "987654",
"Project": "Unicorn",
"Department": "Engineering"
},
"transitiveTagKeys": [
"CostCenter",
"Project"
],
"roleArn": "arn:aws:iam::444455556666:role/SAMLTestRoleShibboleth",
"principalArn": "arn:aws:iam::444455556666:saml-provider/Shibboleth",
"durationSeconds": 1800
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Aug 28, 2023, 7:00:58 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROAD35QRSTUVWEXAMPLE:MyAssignedRoleSessionName",
"arn": "arn:aws:sts::444455556666:assumed-role/SAMLTestRoleShibboleth/MyAssignedRoleSessionName"
},
"packedPolicySize": 1,
"subject": "SamlExample",
"subjectType": "transient",
"issuer": "https://server.example.com/idp/shibboleth",
"audience": "https://signin.aws.amazon.com/saml",
"nameQualifier": "bdGOnTesti4+ExamplexL/jEvs=",
"sourceIdentity": "MySAMLUser"
},
"requestID": "6EXAMPLE-e595-11e5-b2c7-c974fEXAMPLE",
"eventID": "dEXAMPLE-265a-41e0-9352-4401bEXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "444455556666",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::444455556666:role/SAMLTestRoleShibboleth"
},
{
"accountId": "444455556666",
"type": "AWS::IAM::SAMLProvider",
"ARN": "arn:aws:iam::444455556666:saml-provider/test-saml-provider"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "444455556666",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "sts.us-east-2.amazonaws.com"
}
}
```
### Beispiel für ein AWS STS OIDC-API-Ereignis in der Protokolldatei CloudTrail
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine Anforderung, die für die AWS STS [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)Aktion gestellt wurde. Die Anfrage enthält die Attribute `CostCenter` und `Project`, die als [Sitzungs-Tags](id_session-tags.md) über das Identitätsanbieter-Token (IdP) von OpenID Connect (OIDC) übergeben werden. Diese Tags werden als transitiv festgelegt, so dass sie [in Rollenverkettungsszenarien bestehen bleiben](id_session-tags.md#id_session-tags_role-chaining). Die Anforderung enthält das `sourceIdentity`-Attribut aus dem Token des Identitätsanbieters. Wenn jemand die resultierenden Anmeldeinformationen für die Rollensitzung verwendet, um eine andere Rolle zu übernehmen, bleibt diese Quellidentität bestehen.
Der CloudTrail Protokolleintrag enthält auch ein `additionalEventData` Feld mit einem `identityProviderConnectionVerificationMethod` Attribut. Dieses Attribut gibt die AWS Methode an, mit der die Verbindung mit dem OIDC-Anbieter überprüft wurde. Der Attributwert ist entweder `IAMTrustStore` oder `Thumbprint`. Der `IAMTrustStore` Wert gibt an, dass die Verbindung mit dem OIDC-IdP mithilfe unserer Bibliothek vertrauenswürdiger Stammzertifizierungsstellen () AWS erfolgreich verifiziert wurde. CAs Der `Thumbprint` Wert gibt an, dass ein in der IdP-Konfiguration festgelegter Fingerabdruck des Zertifikats AWS verwendet wurde, um das OIDC-IdP-Serverzertifikat zu verifizieren.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "WebIdentityUser",
"principalId": "arn:aws:iam::444455556666:oidc-provider/::",
"userName": "",
"identityProvider": "arn:aws:iam::444455556666:oidc-provider/"
},
"eventTime": "2024-07-09T15:41:37Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRoleWithWebIdentity",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/2.13.29 Python/3.11.6 Windows/10 exe/AMD64 prompt/off command/sts.assume-role-with-web-identity",
"requestParameters": {
"roleArn": "arn:aws:iam::444455556666:role/FederatedWebIdentityRole",
"roleSessionName": "",
"sourceIdentity": "MyWebIdentityUser",
"durationSeconds": 3600,
"principalTags": {
"CostCenter": "24680",
"Project": "Pegasus"
},
"transitiveTagKeys": [
"CostCenter",
"Project"
]
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Jul 9, 2024, 4:41:37 PM"
},
"subjectFromWebIdentityToken": "",
"sourceIdentity": "MyWebIdentityUser",
"assumedRoleUser": {
"assumedRoleId": "AROA123456789EXAMPLE:",
"arn": "arn:aws:sts::444455556666:assumed-role/FederatedWebIdentityRole/"
},
"provider": "arn:aws:iam::444455556666:oidc-provider/",
"audience": ""
},
"additionalEventData": {
"identityProviderConnectionVerificationMethod": "IAMTrustStore"
},
"requestID": "aEXAMPLE-0b26-40df-8973-c7012EXAMPLE",
"eventID": "aEXAMPLE-ee29-4ac0-a0ed-3f5c5EXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "444455556666",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::444455556666:role/FederatedWebIdentityRole"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "444455556666",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts.us-east-2.amazonaws.com"
}
}
```
### Beispiel für ein AWS STS API-Ereignis, das den globalen Endpunkt in der Protokolldatei verwendet CloudTrail
AWS STS Enthält für Anfragen an den AWS -Security-Token-Service globalen Endpunkt (`https://sts.amazonaws.com`) zusätzliche AWS CloudTrail Protokollfelder: `endpointType` und`awsServingRegion`.AWS STS Diese Felder werden unter dem `addtionalEventData` `RequestDetails` Element angezeigt, um den aufgerufenen Serving AWS-Region - und Endpoint-Typ zu protokollieren. Das `endpointType`-Feld kann den Wert `global` oder `regional` aufweisen, um den Typ des globalen Endpunkts anzugeben, der die Anfrage verarbeitet hat. Weitere Informationen zu den AWS STS globalen Endpunktänderungen finden Sie unter[AWS STS Regionen und Endpunkte](id_credentials_temp_region-endpoints.md).
**Anmerkung**
AWS CloudTrail Protokolle für Anfragen an den AWS STS globalen Endpunkt werden an die Region USA Ost (Nord-Virginia) gesendet. CloudTrail Protokolle für Anfragen, die von AWS STS regionalen Endpunkten bedient werden, werden weiterhin in CloudTrail der jeweiligen Region protokolliert.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine AWS STS Anfrage an den globalen Endpunkt (`https://sts.amazonaws.com`), die aus der Region Europa (Stockholm) stammt — eu-north-1. Der `endpointType` Feldwert von `global` gibt an, dass die AWS STS Anfrage vom globalen Endpunkt in der Region Europa (Stockholm) bedient wurde.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:developer",
"arn": "arn:aws:sts::777788889999:assumed-role/Admin/developer",
"accountId": "777788889999",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::777788889999:role/Admin",
"accountId": "777788889999",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2025-02-12T21:44:28Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-02-12T22:16:48Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.15.33 Python/3.11.8 Linux/5.10.233-204.894.amzn2int.x86_64 exe/x86_64.amzn.2 prompt/off command/sts.assume-role",
"requestParameters": {
"roleArn": "arn:aws:iam::777788889999:role/test-role",
"roleSessionName": "test-global-assume-role"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Feb 12, 2025, 11:16:48 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROA987654321EXAMPLE:test-global-assume-role",
"arn": "arn:aws:sts::777788889999:assumed-role/test-role/test-global-assume-role"
}
},
"additionalEventData": {
"RequestDetails": {
"awsServingRegion": "eu-north-1",
"endpointType": "global"
}
},
"requestID": "EXAMPLE7-2497-457a-9586-f21feEXAMPLE",
"eventID": "EXAMPLEc-3d26-4c3a-9c94-722a9EXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "777788889999",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::777788889999:role/test-role"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "777788889999",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts-global.eu-north-1.amazonaws.com"
}
}
```
Zum Vergleich zeigt das folgende Beispiel einen CloudTrail Protokolleintrag für eine AWS STS Anfrage an den regionalen Endpunkt (`https://sts.us-west-2.amazonaws.com`), die vom regionalen Endpunkt in der Region Europa (Stockholm) — eu-north-1 bedient wurde. Der `endpointType` Feldwert von `regional` gibt an, dass die AWS STS Anfrage vom globalen Endpunkt in der Region Europa (Stockholm) bedient wurde.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:developer",
"arn": "arn:aws:sts::777788889999:assumed-role/Admin/developer",
"accountId": "777788889999",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::777788889999:role/Admin",
"accountId": "777788889999",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2025-02-12T21:44:28Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-02-12T22:16:30Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "eu-north-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.15.33 Python/3.11.8 Linux/5.10.233-204.894.amzn2int.x86_64 exe/x86_64.amzn.2 prompt/off command/sts.assume-role",
"requestParameters": {
"roleArn": "arn:aws:iam::777788889999:role/test-role",
"roleSessionName": "test-global-assume-role"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Feb 12, 2025, 11:16:30 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROA987654321EXAMPLE:test-global-assume-role",
"arn": "arn:aws:sts::777788889999:assumed-role/test-role/test-global-assume-role"
}
},
"additionalEventData": {
"RequestDetails": {
"endpointType": "regional",
"awsServingRegion": "eu-north-1"
}
},
"requestID": "EXAMPLEd-2116-4cd7-bd72-9f72fEXAMPLE",
"eventID": "EXAMPLEd-219a-48ed-bc54-00e3cEXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "777788889999",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::777788889999:role/test-role"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "777788889999",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts.eu-north-1.amazonaws.com"
}
}
```
## Beispiel für Anmeldeereignisse im Protokoll CloudTrail
CloudTrail Protokolldateien enthalten Ereignisse, die mit JSON formatiert sind. Ein Anmeldeereignis stellt eine einzelne Anmeldeanforderung dar und enthält Informationen über den Anmelde-Auftraggeber, die Region sowie das Datum und die Uhrzeit der Aktion.
### Beispiel für ein erfolgreiches Anmeldeereignis in der Protokolldatei CloudTrail
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein erfolgreiches Anmeldeereignis.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::111122223333:user/John",
"accountId": "111122223333",
"userName": "John"
},
"eventTime": "2014-07-16T15:49:27Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.110",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"MobileVersion": "No",
"LoginTo": "[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)",
"MFAUsed": "No"
},
"eventID": "3fcfb182-98f8-4744-bd45-10a395ab61cb"
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine erfolgreiche Autorisierungscode-Anfrage.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROATJHQDX737YZP72NTF:thesjain-Isengard",
"arn": "arn:aws:sts::225989345271:assumed-role/Admin/thesjain-Isengard",
"accountId": "225989345271",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROATJHQDX737YZP72NTF",
"arn": "arn:aws:iam::225989345271:role/Admin",
"accountId": "225989345271",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-11-17T22:50:14Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-17T22:51:32Z",
"eventSource": "signin.amazonaws.com",
"eventName": "AuthorizeOAuth2Access",
"awsRegion": "us-east-1",
"sourceIPAddress": "52.94.133.136",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
"requestParameters": {
"scope": "openid",
"redirect_uri": "http://127.0.0.1:53037/oauth/callback",
"code_challenge_method": "SHA-256",
"client_id": "arn:aws:signin:::devtools/same-device"
},
"responseElements": null,
"additionalEventData": {
"success": "true",
"x-amzn-vpce-id": ""
},
"requestID": "e2854c76-1cba-4360-9fd1-5037b591466b",
"eventID": "59e1720d-3deb-44ff-933d-6828be2a860a",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "225989345271",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine erfolgreiche OAuth2 Token-Erstellungsanforderung.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROATJHQDX737YZP72NTF:jacobjoj-Isengard",
"arn": "arn:aws:sts::225989345271:assumed-role/Admin/jacobjoj-Isengard",
"accountId": "225989345271",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROATJHQDX737YZP72NTF",
"arn": "arn:aws:iam::225989345271:role/Admin",
"accountId": "225989345271",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-11-18T20:38:10Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-18T20:38:44Z",
"eventSource": "signin.amazonaws.com",
"eventName": "CreateOAuth2Token",
"awsRegion": "us-east-1",
"sourceIPAddress": "15.248.6.6",
"userAgent": "aws-cli/2.32.0 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,AA,Z,E cfg/retry-mode#standard md/installer#exe sid/35033f4ca1bd md/prompt#off md/command#login",
"requestParameters": {
"client_id": "arn:aws:signin:::devtools/same-device"
},
"responseElements": null,
"additionalEventData": {
"success": "true",
"x-amzn-vpce-id": ""
},
"requestID": "94562943-c85b-4dc1-bf72-43b0fd42d6de",
"eventID": "0b338fac-6a10-4740-b34d-1bb6923e799e",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "225989345271",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
Weitere Informationen zu den in CloudTrail Protokolldateien enthaltenen Informationen finden Sie unter [CloudTrail Event Reference](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/eventreference.html) im *AWS CloudTrail Benutzerhandbuch*.
### Beispiel für ein fehlgeschlagenes Anmeldeereignis in der CloudTrail Protokolldatei
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein fehlgeschlagenes Anmeldeereignis.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::111122223333:user/JaneDoe",
"accountId": "111122223333",
"userName": "JaneDoe"
},
"eventTime": "2014-07-08T17:35:27Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.100",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"errorMessage": "Failed authentication",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Failure"
},
"additionalEventData": {
"MobileVersion": "No",
"LoginTo": "https://console.aws.amazon.com/sns",
"MFAUsed": "No"
},
"eventID": "11ea990b-4678-4bcd-8fbe-62509088b7cf"
}
```
Anhand dieser Informationen können Sie feststellen, dass der Anmeldeversuch von einer IAM-Benutzerin namens `JaneDoe` unternommen wurde, wie auch im `userIdentity`-Element zu sehen ist. Außerdem können Sie dem Element `responseElements` entnehmen, dass die Anmeldung fehlgeschlagen ist. Den Informationen zufolge hat `JaneDoe` am 8. Juli 2014 um 17:35 Uhr (UTC) versucht, sich bei der Amazon SNS-Konsole anzumelden.
### Beispiel für eine Anmeldung, die aufgrund eines falschen Benutzernamens fehlgeschlagen ist.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein fehlgeschlagenes Anmeldeereignis, das dadurch verursacht wurde, dass der Benutzer einen falschen Benutzernamen eingegeben hat. AWS maskiert den `userName` Text mit`HIDDEN_DUE_TO_SECURITY_REASONS`, um zu verhindern, dass potenziell vertrauliche Informationen preisgegeben werden.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"eventTime": "2015-03-31T22:20:42Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"errorMessage": "No username found in supplied account",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Failure"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true",
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "a7654656-0417-45c6-9386-ea8231385051",
"eventType": "AwsConsoleSignin",
"recipientAccountId": "123456789012"
}
```
## Verhalten der IAM-Rollen-Vertrauensrichtlinie
Am 21. September 2022 AWS wurden Änderungen am Verhalten der Vertrauensrichtlinie für Rollen vorgenommen, sodass in einer Rollenvertrauensrichtlinie ausdrückliche Genehmigungen erforderlich sind, wenn eine Rolle sich selbst übernimmt. IAM-Rollen in der Legacy-Zulassungsliste für Verhaltensmuster verfügen über ein additionalEventData Feld explicitTrustGrant für `AssumeRole` Ereignisse. Der Wert von `explicitTrustGrant` ist falsch, wenn eine Rolle auf der Legacy-Zulassungsliste das Legacy-Verhalten verwendet. Wenn eine Rolle auf der Legacy-Zulassungsliste sich selbst annimmt, das Verhalten der Rollenvertrauensrichtlinie jedoch aktualisiert wurde, um der Rolle ausdrücklich zu erlauben, sich selbst anzunehmen, ist der Wert von `explicitTrustGrant` wahr.
Nur eine sehr geringe Anzahl von IAM-Rollen steht auf der Zulassungsliste für das veraltete Verhalten, und dieses Feld ist in den CloudTrail Protokollen für diese Rollen nur vorhanden, wenn sie sich selbst übernehmen. In den meisten Fällen ist es nicht erforderlich, dass sich eine IAM-Rolle von selbst übernimmt. AWS empfiehlt, Ihre Prozesse, Ihren Code oder Ihre Konfigurationen zu aktualisieren, um dieses Verhalten zu beseitigen, oder Ihre Richtlinien für die Vertrauensstellung von Rollen zu aktualisieren, um dieses Verhalten ausdrücklich zuzulassen. Weitere Informationen finden Sie unter [Ankündigung einer Aktualisierung des Verhaltens der IAM-Rollenvertrauensrichtlinie](https://aws.amazon.com/blogs//security/announcing-an-update-to-iam-role-trust-policy-behavior/).