CloudTrail userIdentity Element - AWS CloudTrail
BeispieleFelderWerte für „with“ SAML und „Web AWS STS APIs Identity Federation“AWS STS Quellidentität

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail userIdentity Element

AWS Identity and Access Management (IAM) bietet verschiedene Arten von Identitäten. Das userIdentity Element enthält Informationen über den IAM Identitätstyp, der die Anfrage gestellt hat, und darüber, welche Anmeldeinformationen verwendet wurden. Wenn temporäre Anmeldeinformationen verwendet wurden, zeigt das Element, wie die Anmeldeinformationen erhalten wurden.

Beispiele

userIdentity mit IAM-Anmeldeinformationen

Das folgende Beispiel zeigt das userIdentity Element einer einfachen Anfrage, die mit den Anmeldeinformationen des angegebenen IAM Benutzers gestellt wurdeAlice. 

"userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDAJ45Q7YFFAREXAMPLE",
    "arn": "arn:aws:iam::123456789012:user/Alice",
    "accountId": "123456789012",
    "accessKeyId": "",
    "userName": "Alice"
}

userIdentity mit temporären Sicherheitsanmeldeinformationen

Das folgende Beispiel zeigt ein userIdentity Element für eine Anfrage, die mit temporären Sicherheitsanmeldedaten gestellt wurde, die durch die Übernahme einer IAM Rolle abgerufen wurden. Das Element enthält weitere Informationen über die Rolle, die angenommen wurde, um Anmeldeinformationen zu erhalten. 

"userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
    "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
    "accountId": "123456789012",
    "accessKeyId": "",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAIDPPEZS35WEXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
            "accountId": "123456789012",
            "userName": "RoleToBeAssumed"
        },
        "attributes": {
            "mfaAuthenticated": "false",
            "creationDate": "20131102T010628Z"
        )
      
    }
}

userIdentityfür eine Anfrage, die im Namen eines IAM Identity Center-Benutzers gestellt wurde

Das folgende Beispiel zeigt ein userIdentity Element für eine Anfrage, die im Namen eines IAM Identity Center-Benutzers gestellt wurde. 

"userIdentity": {
    "type": "IdentityCenterUser",
    "accountId": "123456789012",
    "onBehalfOf": {
        "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
        "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7" 
    },
    "credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}

Felder

Die folgenden Felder können in einem userIdentity Element erscheinen.

type

Die Art der Identität. Die folgenden Werte sind möglich:

  • Root— Die Anfrage wurde mit Ihren AWS-Konto Anmeldeinformationen gestellt. Wenn der userIdentity-Typ Root lautet und Sie einen Alias für das Konto festlegen, enthält das Feld userName den Konto-Alias. Weitere Informationen finden Sie unter Ihre AWS-Konto -ID und der zugehörige Alias.

  • IAMUser— Die Anfrage wurde mit den Anmeldeinformationen eines IAM Benutzers gestellt.

  • AssumedRole— Die Anfrage wurde mit temporären Sicherheitsanmeldedaten gestellt, die mit einer Rolle durch einen Aufruf von AWS Security Token Service (AWS STS) abgerufen wurden AssumeRoleAPI. Dies kann Rollen für Amazon EC2 und kontoübergreifenden API Zugriff beinhalten.

  • Role— Die Anfrage wurde mit einer persistenten IAM Identität gestellt, die über bestimmte Berechtigungen verfügt. Der Aussteller der Rollensitzungen ist immer die Rolle. Weitere Informationen zu Rollen finden Sie im IAMBenutzerhandbuch unter Begriffe und Konzepte von Rollen.

  • FederatedUser— Die Anfrage wurde mit temporären Sicherheitsanmeldedaten gestellt, die bei einem Anruf an die abgerufen wurden AWS STS GetFederationTokenAPI. Das sessionIssuer Element gibt an, ob das mit Root- oder IAM Benutzeranmeldedaten aufgerufen API wurde.

    Weitere Informationen zu temporären Sicherheitsanmeldedaten finden Sie unter Temporäre Sicherheitsanmeldedaten im IAMBenutzerhandbuch.

  • Directory – Die Anforderung wurde an einen Directory Service gestellt und der Typ ist unbekannt. Zu den Verzeichnisdiensten gehören: Amazon WorkDocs und Amazon QuickSight.

  • AWSAccount— Die Anfrage wurde von einem anderen gestellt AWS-Konto

  • AWSService— Die Anfrage wurde von einem gestellt AWS-Konto , der einem gehört AWS-Service. AWS Elastic Beanstalk Nimmt beispielsweise eine IAM Rolle in Ihrem Konto an, um in Ihrem Namen andere AWS-Services Personen anzurufen.

  • IdentityCenterUser— Die Anfrage wurde im Namen eines IAM Identity Center-Benutzers gestellt.

  • Unknown— Die Anfrage wurde mit einem Identitätstyp gestellt, der nicht bestimmt CloudTrail werden kann.

Optional: False

AWSAccountund AWSService erscheinen type in Ihren Protokollen, wenn es einen kontoübergreifenden Zugriff mit einer IAM Rolle gibt, deren Inhaber Sie sind.

Beispiel: von einem anderen AWS -Konto initiierter kontoübergreifender Zugriff

  1. Sie besitzen eine IAM Rolle in Ihrem Konto.

  2. Ein anderes AWS Konto wechselt zu dieser Rolle, um die Rolle für Ihr Konto zu übernehmen.

  3. Da Ihnen die IAM Rolle gehört, erhalten Sie ein Protokoll, aus dem hervorgeht, dass das andere Konto die Rolle übernommen hat. Das type ist AWSAccount. Ein Beispiel für einen Protokolleintrag finden Sie unter AWS STS APIEreignis in der CloudTrail Protokolldatei.

Beispiel: Kontenübergreifender Zugriff, der von einem AWS Dienst initiiert wurde

  1. Sie besitzen eine IAM Rolle in Ihrem Konto.

  2. Ein AWS Konto, das einem AWS Dienst gehört, übernimmt diese Rolle.

  3. Da Sie Eigentümer der IAM Rolle sind, erhalten Sie ein Protokoll, aus dem hervorgeht, dass der AWS Dienst die Rolle übernommen hat. Das type ist AWSService.

userName

Der Anzeigename der Identität, von der der Aufruf stammt. Der angezeigte Wert userName basiert auf dem in type angegebenen Wert. Die folgende Tabelle zeigt das Verhältnis zwischen type und userName:

type userName Beschreibung
Root (kein Alias festgelegt) Nicht vorhanden Wenn Sie keinen Alias für Ihren eingerichtet haben AWS-Konto, wird das userName Feld nicht angezeigt. Weitere Informationen zu Kontoaliasnamen finden Sie unter Ihre AWS-Konto ID und ihr Alias. Beachten Sie bitte, dass das Feld userName niemals den Wert Root enthält, da es sich bei Root um einen Identitätstyp und nicht um einen Benutzernamen handelt.
Root (Stamm) (kein Alias festgelegt) Konto-Alias Weitere Informationen zu AWS-Konto Aliasnamen findest du unter Deine AWS-Konto ID und ihr Alias.
IAMUser Der Benutzername des IAM Benutzers

AssumedRole

 Nicht vorhanden Für den AssumedRole Typ finden Sie das userName Feld sessionContext als Teil des sessionIssuerElements. Einen Beispieleintrag finden Sie unter Beispiele.

Role

 Benutzerdefiniert Die Abschnitte sessionContext und sessionIssuer enthalten Informationen über die Identität, die die Sitzung für die Rolle erstellt hat.
FederatedUser Nicht vorhanden Die Abschnitte sessionContext und sessionIssuer enthalten Informationen über die Identität, die die Sitzung für den Verbundbenutzer erstellt hat.
Directory Kann vorhanden sein Der Wert kann beispielsweise der Kontoalias oder die E-Mail-Adresse der zugehörigen AWS-Konto -ID sein.
AWSService Nicht vorhanden
AWSAccount Nicht vorhanden
IdentityCenterUser Nicht vorhanden Der onBehalfOf Abschnitt enthält Informationen zur IAM Identity Center-Benutzer-ID und zum Identitätsspeicher, ARN für die der Anruf getätigt wurde. Weitere Informationen zu IAM Identity Center finden Sie im AWS IAM Identity Center Benutzerhandbuch.
Unknown Kann vorhanden sein Der Wert kann beispielsweise der Kontoalias oder die E-Mail-Adresse der zugehörigen AWS-Konto -ID sein.
Anmerkung

Das userName-Feld enthält die Zeichenfolge, HIDDEN_DUE_TO_SECURITY_REASONS, wenn das aufgezeichnete Ereignis einen Konsole-Anmeldefehler durch Eingabe eines falschen Benutzernamens angibt. CloudTrail zeichnet den Inhalt in diesem Fall nicht auf, da der Text vertrauliche Informationen enthalten könnte, wie in den folgenden Beispielen:

  • Ein Benutzer gibt versehentlich ein Passwort im Feld für den Benutzernamen ein.

  • Ein Benutzer klickt auf den Link für die Anmeldeseite eines AWS Kontos, gibt dann aber die Kontonummer für ein anderes Konto ein.

  • Ein Benutzer gibt versehentlich den Kontonamen eines persönlichen E-Mail-Kontos, eine Bank-Anmelde-ID oder eine andere private ID ein.

Optional: Wahr

principalId

Eine eindeutige ID für die Entität, von der der Aufruf stammt. Bei Anfragen mit temporären Sicherheitsanmeldedaten beinhaltet dieser Wert den Sitzungsnamen, der an den AssumeRoleAssumeRoleWithWebIdentity, oder GetFederationToken API -Aufruf übergeben wird.

Optional: Wahr

arn

Der Amazon-Ressourcenname (ARN) des Prinzipals, der den Anruf getätigt hat. Der letzte Abschnitt des ARN enthält den Benutzer oder die Rolle, von dem/der der Aufruf stammt.

Optional: Wahr

accountId

Das Konto, das die Entität besitzt, die die Berechtigungen für die Anforderung erteilte. Wenn die Anfrage mit temporären Sicherheitsanmeldedaten gestellt wurde, ist dies das Konto, dem der IAM Benutzer oder die Rolle gehört, die zum Abrufen der Anmeldeinformationen verwendet wurden.

Wenn die Anfrage mit einem autorisierten IAM Identity Center-Zugriffstoken gestellt wurde, ist dies das Konto, dem die IAM Identity Center-Instanz gehört.

Optional: Wahr

accessKeyId

Die -Zugriffsschlüssel-ID, die zum Signieren der Abfrage verwendet wurde. Erfolgte die Abfrage mittels temporärer Sicherheitsanmeldeinformationen, ist dies die Zugriffsschlüssel-ID der temporären Anmeldeinformationen. Aus Sicherheitsgründen ist accessKeyId möglicherweise nicht vorhanden oder wird als leere Zeichenfolge angezeigt.

Optional: Wahr

sessionContext

Erfolgte die Anforderung mittels temporärer Sicherheitsanmeldeinformationen, stellt sessionContext die Informationen über die Sitzung bereit, die für diese Anmeldeinformationen erstellt wurde. Sie erstellen eine Sitzung, wenn Sie eine Sitzung aufrufenAPI, die temporäre Anmeldeinformationen zurückgibt. Benutzer erstellen auch Sitzungen, wenn sie in der Konsole arbeiten, und stellen APIs damit Anfragen, einschließlich Multi-Faktor-Authentifizierung. Die folgenden Attribute können in sessionContext vorkommen:

  • sessionIssuer— Wenn ein Benutzer eine Anfrage mit temporären Sicherheitsanmeldedaten sessionIssuer stellt, werden Informationen darüber bereitgestellt, wie der Benutzer die Anmeldeinformationen erhalten hat. Wurden die temporären Sicherheitsanmeldeinformationen beispielsweise durch Annahme einer Rolle abgerufen, gibt dieses Element Auskunft über die entsprechende Rolle. Wenn der Benutzer Anmeldeinformationen mit Root- oder IAM Benutzeranmeldedaten zum Aufrufen erhalten hat AWS STS GetFederationToken, liefert das Element Informationen über das Root-Konto oder den IAM Root-Benutzer. Dieses Element hat die folgenden Attribute:

    • type – Die Quelle der temporären Sicherheitsanmeldeinformationen wie z. B. Root (Stamm), IAMUser (IAM-Benutzer) oder Role (Rolle).

    • userName – Der Anzeigename des Benutzers oder der Rolle, die die Sitzung erstellt hat. Der angezeigte Wert ist vom sessionIssuer-Identitäts-type abhängig. Die folgende Tabelle zeigt das Verhältnis zwischen sessionIssuer type und userName:

      sessionIssuer-Typ userName Beschreibung
      Root (kein Alias festgelegt) Nicht vorhanden Wenn Sie für das Konto keinen Alias festgelegt haben, wird das userName-Feld nicht angezeigt. Weitere Informationen zu AWS-Konto Aliasnamen finden Sie unter Ihre AWS-Konto ID und ihr Alias. Beachten Sie bitte, dass das Feld userName niemals den Wert Root enthält, da es sich bei Root um einen Identitätstyp und nicht um einen Benutzernamen handelt.
      Root (Stamm) (kein Alias festgelegt) Konto-Alias Weitere Informationen zu AWS-Konto Aliasnamen findest du unter Deine AWS Konto-ID und ihr Alias.
      IAMUser Der Benutzername des IAM Benutzers Dies gilt auch, wenn ein verbundener Benutzer eine Sitzung verwendet, die von einem IAMUser erstellt wurde.
      Role Rollenname Eine Rolle, AWS-Service die von einem IAM Benutzer oder einem Verbundbenutzer mit Web-Identität in einer Rollensitzung übernommen wurde.

    • principalId: Die interne ID der Entität, die verwendet wurde, um die Anmeldeinformationen abzurufen.

    • arn— Die ARN Quelle (Konto, IAM Benutzer oder Rolle), die zum Abrufen temporärer Sicherheitsanmeldedaten verwendet wurde.

    • accountId – Das Konto, das die Entität besitzt, die verwendet wurde, um die Anmeldeinformationen zu erhalten.

  • webIdFederationData— Wenn die Anfrage mit temporären Sicherheitsanmeldedaten gestellt wurde, die über den Web Identity Federation abgerufen wurden, webIdFederationData werden Informationen über den Identitätsanbieter aufgeführt.

    Dieses Element hat die folgenden Attribute:

    • federatedProvider – Der Prinzipal-Name des Identitätsanbieters (z. B. www.amazon.com für Login with Amazon oder accounts.google.com für Google).

    • attributes – Die Anwendungs-ID und Benutzer-ID, wie sie vom Anbieter gemeldet wurden (z. B. www.amazon.com:app_id und www.amazon.com:user_id für Login with Amazon).

    Anmerkung

    Das Auslassen dieses Felds oder das Vorhandensein dieses Felds mit einem leeren Wert bedeutet, dass keine Informationen über den Identitätsanbieter vorliegen.

  • creationDate– Das Datum und die Uhrzeit, zu dem/der die temporären Sicherheitsanmeldeinformationen ausgestellt wurden. Dargestellt in der ISO Standardschreibweise 8601.

  • mfaAuthenticated— Der Wert gibt an, true ob sich der Root-Benutzer oder der IAM Benutzer, der seine Anmeldeinformationen für die Anfrage verwendet hat, auch bei einem MFA Gerät authentifiziert hat; andernfalls. false

  • sourceIdentity – Weitere Informationen finden Sie unter AWS STS Quellidentität in diesem Thema. Das sourceIdentity Feld tritt bei Ereignissen auf, wenn Benutzer eine IAM Rolle übernehmen, um eine Aktion auszuführen. sourceIdentityidentifiziert die ursprüngliche Benutzeridentität, die die Anfrage gestellt hat, unabhängig davon, ob es sich bei der Identität dieses Benutzers um einen IAM Benutzer, eine IAM Rolle, einen Benutzer, der über einen SAML basierten Verbund authentifiziert wurde, oder um einen Benutzer handelt, der über einen OpenID Connect (OIDC) -kompatiblen Web-Identitätsverbund authentifiziert wurde. Weitere Informationen zur Konfiguration der Erfassung von Informationen AWS STS zur Quellenidentität finden Sie im Benutzerhandbuch unter Überwachen und Steuern von Aktionen, die mit übernommenen Rollen ergriffen wurden. IAM

  • ec2RoleDelivery— Der Wert ist, 1.0 wenn die Anmeldeinformationen von Amazon EC2 Instance Metadata Service Version 1 (IMDSv1) bereitgestellt wurden. Der Wert gibt an2.0, ob die Anmeldeinformationen mit dem neuen IMDS Schema bereitgestellt wurden.

    AWS Die vom Amazon EC2 Instance Metadata Service (IMDS) bereitgestellten Anmeldeinformationen enthalten einen ec2: RoleDelivery IAM -Kontextschlüssel. Dieser Kontextschlüssel macht es einfach, die Verwendung des neuen Schemas auf resource-by-resource Or-Basis zu erzwingen, indem der Kontextschlüssel als Bedingung in IAM Richtlinien, Ressourcenrichtlinien oder AWS Organizations Servicesteuerungsrichtlinien verwendet wird. service-by-service Weitere Informationen finden Sie unter Instance-Metadaten und Benutzerdaten im EC2Amazon-Benutzerhandbuch.

Optional: Wahr

invokedBy

Der Name AWS-Service desjenigen, der die Anfrage gestellt hat, wenn eine Anfrage von einem AWS-Service wie Amazon EC2 Auto Scaling oder gestellt wird AWS Elastic Beanstalk. Dieses Feld ist nur vorhanden, wenn eine Anfrage von einem gestellt wird AWS-Service. Dazu gehören Anfragen von Diensten, die Forward-Access-Sitzungen (FAS) verwenden, AWS-Service Principals, dienstverknüpfte Rollen oder Servicerollen, die von einem verwendet werden. AWS-Service

Optional: Wahr

onBehalfOf

Wenn die Anfrage von einem IAM Identity Center-Anrufer gestellt wurde, onBehalfOf liefert Informationen über die IAM Identity Center-Benutzer-ID und den Identitätsspeicher, ARN für den der Anruf getätigt wurde. Dieses Element hat die folgenden Attribute:

  • userId— Die ID des IAM Identity Center-Benutzers, in dessen Namen der Anruf getätigt wurde.

  • identityStoreArn— Die ARN des IAM Identity Center-Identitätsspeichers, in dessen Namen der Anruf getätigt wurde.

Optional: Wahr

credentialId

Die Anmeldeinformationen-ID für die Anforderung. Dies wird nur festgelegt, wenn der Anrufer ein Inhabertoken verwendet, z. B. ein autorisiertes IAM Identity Center-Zugriffstoken.

Optional: Wahr

Werte für „with“ SAML und „Web AWS STS APIs Identity Federation“

AWS CloudTrail unterstützt Logging AWS Security Token Service (AWS STS) API -Aufrufe, die mit Security Assertion Markup Language (SAML) und Web Identity Federation getätigt wurden. Wenn ein Benutzer das AssumeRoleWithSAMLund anruft AssumeRoleWithWebIdentityAPIs, CloudTrail zeichnet er den Anruf auf und übermittelt das Ereignis an Ihren Amazon S3 S3-Bucket.

Das userIdentity Element für diese APIs enthält die folgenden Werte.

type

Den Identitätstyp.

  • SAMLUser— Die Anfrage wurde mit SAML Zusicherung gestellt.

  • WebIdentityUser – Die Abfrage erfolgte über einen Web-Identitätsverbundanbieter.

principalId

Eine eindeutige ID für die Entität, von der der Aufruf stammt.

  • Bei einem SAMLUserist dies eine Kombination aus saml:namequalifier und saml:sub-Schlüsseln.

  • Bei einem WebIdentityUserist dies eine Kombination aus dem Aussteller, Anwendungs-ID und Benutzer-ID.

userName

Der Name der Identität, über die der Aufruf getätigt wurde.

  • Bei einem SAMLUserist dies der saml:sub-Schlüssel.

  • Bei einem WebIdentityUser ist dies die Benutzer-ID.

identityProvider

Der Prinzipal-Name des externen Identitätsanbieters. Dieses Feld wird nur bei SAMLUser oder WebIdentityUser-Typen angezeigt.

  • Denn SAMLUser das ist der saml:namequalifier Schlüssel für die SAML Behauptung.

  • Bei einem WebIdentityUser ist dies der Aussteller-Name des Web-Identitätsverbundanbieters. Hierbei kann es sich um einen Anbieter, den Sie konfiguriert haben, handeln wie z .B.:

    • cognito-identity.amazon.com für Amazon Cognito

    • www.amazon.com für Login with Amazon

    • accounts.google.com für Google

    • graph.facebook.com für Facebook

Nachstehend finden Sie ein Beispiel eines userIdentity-Elements (Benutzeridentität) für die AssumeRoleWithWebIdentity-Aktion (Übernahme einer Rolle mit der Web-Identität).

"userIdentity": {
    "type": "WebIdentityUser",
    "principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id",
    "userName": "user-id",
    "identityProvider": "accounts.google.com"
  }

Logs zum Beispiel darüber, wie das userIdentity Element erscheint SAMLUser und welche WebIdentityUser Typen es hat, finden Sie unter Protokollierung IAM und AWS STS API Aufrufe mit AWS CloudTrail.

AWS STS Quellidentität

Ein IAM Administrator kann so konfigurieren AWS Security Token Service , dass Benutzer ihre Identität angeben müssen, wenn sie temporäre Anmeldeinformationen verwenden, um Rollen zu übernehmen. Das sourceIdentity Feld tritt bei Ereignissen auf, wenn Benutzer eine IAM Rolle übernehmen oder Aktionen mit der angenommenen Rolle ausführen.

Das sourceIdentity Feld identifiziert die ursprüngliche Benutzeridentität, die die Anfrage gestellt hat, unabhängig davon, ob es sich bei der Identität dieses IAM Benutzers um einen Benutzer, eine IAM Rolle, einen Benutzer, der mithilfe eines SAML basierten Verbunds authentifiziert wurde, oder um einen Benutzer handelt, der mithilfe eines OpenID Connect (OIDC) -kompatiblen Web-Identitätsverbunds authentifiziert wurde. Nach der Konfiguration durch den IAM Administrator werden sourceIdentity Informationen zu den folgenden Ereignissen und Orten im Ereignisdatensatz CloudTrail protokolliert: AWS STS

  • Die AWS STS AssumeRole, oder AssumeRoleWithWebIdentity -AufrufeAssumeRoleWithSAML, die eine Benutzeridentität tätigt, wenn sie eine Rolle übernimmt. sourceIdentitybefindet sich im requestParameters Block der AWS STS Aufrufe.

  • Die AssumeRoleWithWebIdentity Aufrufe AWS STS AssumeRole, oderAssumeRoleWithSAML, die eine Benutzeridentität tätigt, wenn sie eine Rolle verwendet, um eine andere Rolle anzunehmen. Dies wird als Rollenverkettung bezeichnet. sourceIdentitybefindet sich im requestParameters Block der AWS STS Aufrufe.

  • Der AWS Dienst API ruft die Benutzeridentität ab, während sie eine Rolle annimmt und die temporären Anmeldeinformationen verwendet, die von zugewiesen wurden AWS STS. Bei API Dienstereignissen sourceIdentity ist es im sessionContext Block zu finden. Wenn beispielsweise eine Benutzeridentität einen neuen S3 Bucket erstellt, kommt sourceIdentity im sessionContext-Block des CreateBucket-Ereignisses vor.

Weitere Informationen AWS STS zur Konfiguration der Erfassung von Quellidentitätsinformationen finden Sie im IAMBenutzerhandbuch unter Überwachen und Steuern von Aktionen, die mit übernommenen Rollen durchgeführt werden. Weitere Informationen zu AWS STS Ereignissen, die protokolliert werden CloudTrail, finden Sie unter Protokollierung IAM und AWS STS API Aufrufe mit AWS CloudTrail im IAMBenutzerhandbuch.

Im Folgenden finden Sie Beispielausschnitte von Ereignissen, die das sourceIdentity-Feld anzeigen.

Beispiel Abschnitt requestParameters

Im folgenden Beispiel-Event-Snippet stellt ein Benutzer eine AWS STS AssumeRole Anfrage und legt eine Quellidentität fest, hier dargestellt durch. source-identity-value-set Der Benutzer nimmt eine Rolle an, die durch die Rolle repräsentiert wird. ARN arn:aws:iam::123456789012:role/Assumed_Role Das sourceIdentity-Feld befindet sich im requestParameters-Block des Ereignisses.

"eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AIDAJ45Q7YFFAREXAMPLE",
        "accountId": "123456789012"
    },
    "eventTime": "2020-04-02T18:20:53Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "203.0.113.64",
    "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
    "requestParameters": {
        "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
        "roleSessionName": "Test1",
        "sourceIdentity": "source-identity-value-set",
    },

Beispiel Abschnitt responseElements

Im folgenden Beispiel-Event-Snippet stellt ein Benutzer eine AWS STS AssumeRole Anfrage zur Übernahme einer Rolle mit dem Namen Developer_Role und legt eine Quellidentität fest. Admin Der Benutzer nimmt eine Rolle an, die durch die Rolle repräsentiert wird. ARN arn:aws:iam::111122223333:role/Developer_Role Das sourceIdentity-Feld befindet sich in den requestParameters- und responseElements-Blöcken des Ereignisses. Die temporären Anmeldeinformationen, die zur Übernahme der Rolle verwendet wurden, die Zeichenfolge für das Sitzungstoken und die angenommene Rollen-ID, der Sitzungsname und die Sitzung ARN werden zusammen mit der Quellidentität im responseElements Block angezeigt.

    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
        "roleSessionName": "Session_Name",
        "sourceIdentity": "Admin"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "expiration": "Jan 22, 2021 12:46:28 AM",
            "sessionToken": "XXYYaz...
                             EXAMPLE_SESSION_TOKEN
                             XXyYaZAz"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
            "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
        },
        "sourceIdentity": "Admin"
    }
...

Beispiel Abschnitt sessionContext

Im folgenden Beispiel-Event-Snippet nimmt ein Benutzer eine Rolle mit dem Namen Call a DevRole Service an AWS . API Der Benutzer legt eine Quellidentität fest, die hier dargestellt wird durch source-identity-value-set. Das sourceIdentity Feld befindet sich im sessionContext Block, innerhalb des userIdentity Blocks des Ereignisses.

{
  "eventVersion": "1.08",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
    "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
    "accountId": "123456789012",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAJ45Q7YFFAREXAMPLE",
        "arn": "arn: aws: iam: : 123456789012: role/DevRole",
        "accountId": "123456789012",
        "userName": "DevRole"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2021-02-21T23: 46: 28Z"
      },
      "sourceIdentity": "source-identity-value-set"
    }
  }
}