Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verfolgen Sie privilegierte Aufgaben in AWS CloudTrail
Das AWS Organizations Verwaltungskonto oder ein delegiertes Administratorkonto für IAM kann mithilfe des kurzfristigen Root-Zugriffs einige Root-Benutzeraufgaben für Mitgliedskonten ausführen. Kurzfristige privilegierte Sitzungen geben Ihnen temporäre Anmeldeinformationen, mit denen Sie privilegierte Aktionen für ein Mitgliedskonto in Ihrer Organisation ausführen können. Mithilfe der folgenden Schritte können Sie ermitteln, welche Aktionen das Verwaltungskonto oder ein delegierter Administrator während der sts:AssumeRootSitzung ausgeführt hat.
Anmerkung
Der globale Endpunkt wird nicht unterstützt fürsts:AssumeRoot. CloudTrail zeichnet ConsoleLogin Ereignisse in der für den Endpunkt angegebenen Region auf.
Um Aktionen, die von einer privilegierten Sitzung ausgeführt wurden, in CloudTrail Protokollen nachzuverfolgen
-
Suchen Sie das
AssumeRootEreignis in Ihren CloudTrail Protokollen. Dieses Ereignis wird generiert, wenn Ihr Verwaltungskonto oder der delegierte Administrator eine Reihe von kurzfristigen Anmeldeinformationen von IAMsts:AssumeRooterhält.Im folgenden Beispiel AssumeRoot wird das CloudTrail Ereignis für in dem
eventNameFeld protokolliert.{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1", "arn": "arn:aws:sts::111111111111:assumed-role/JohnDoe/JohnRole1", "accountId": "111111111111", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:role/JohnDoe", "accountId": "111111111111", "userName": "Admin2" }, "webIdFederationData": {}, "attributes": { "assumedRoot": "true", "creationDate": "2024-10-25T20:45:28Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "222222222222", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } }Anweisungen zum Zugriff auf Ihre CloudTrail Protokolle finden Sie unter Abrufen und Anzeigen Ihrer CloudTrail Protokolldateien im AWS CloudTrail Benutzerhandbuch.
-
Suchen Sie im CloudTrail Ereignisprotokoll nach dem Eintrag, der
targetPrincipalangibt, für welche Aktionen für das Mitgliedskonto ausgeführt wurden, und denaccessKeyIdEintrag, der nur für dieAssumeRootSitzung gilt.Im folgenden Beispiel
targetPrincipalist der 222222222222 und der ist.accessKeyIdASIAIOSFODNN7EXAMPLE"eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "222222222222", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } -
Suchen Sie in den CloudTrail Protokollen für den Zielprinzipal nach der Zugriffsschlüssel-ID, die dem Wert des
accessKeyIdEreignisses entspricht.AssumeRootVerwenden Sie dieeventNameFeldwerte, um die privilegierten Aufgaben zu ermitteln, die während derAssumeRootSitzung ausgeführt wurden. In einer einzigen Sitzung können mehrere privilegierte Aufgaben ausgeführt werden. Die maximale SitzungsdauerAssumeRootbeträgt 900 Sekunden (15 Minuten).Im folgenden Beispiel hat das Verwaltungskonto oder der delegierte Administrator die ressourcenbasierte Richtlinie für einen Amazon S3 S3-Bucket gelöscht.
{ "eventVersion": "1.10", "userIdentity": { "type": "Root", "principalId": "222222222222", "arn": "arn:aws:iam::222222222222:root", "accountId": "222222222222", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "creationDate": "2024-10-25T20:52:11Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-10-25T20:53:47Z", "eventSource": "s3.amazonaws.com", "eventName": "DeleteBucketPolicy", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "bucketName": "resource-policy-JohnDoe", "Host": "resource-policy-JohnDoe.s3.amazonaws.com", "policy": "" }, "responseElements": null, "requestID": "1234567890abcdef0", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "readOnly": false, "resources": [ { "accountId": "222222222222", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::resource-policy-JohnDoe" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "222222222222", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "resource-policy-JohnDoe.s3.amazonaws.com" } }
