Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# CloudTrail Benutzeridentitätselement
AWS Identity and Access Management (IAM) bietet verschiedene Arten von Identitäten. Das `userIdentity`-Element enthält Details über die Art der für die Abfrage genutzten IAM-Identität und dazu, welche Anmeldeinformationen verwendet wurden. Wenn temporäre Anmeldeinformationen verwendet wurden, zeigt das Element, wie die Anmeldeinformationen erhalten wurden.
**Contents**
+ [Beispiele](#cloudtrail-event-reference-user-identity-examples)
+ [Felder](#cloudtrail-event-reference-user-identity-fields)
+ [Werte für AWS STS APIs mit SAML und Web-Identitätsverbund](#STS-API-SAML-WIF)
+ [AWS STS Quellidentität](#STS-API-source-identity)
## Beispiele
**`userIdentity` mit IAM-Benutzeranmeldeinformationen**
Das folgende Beispiel zeigt das `userIdentity`-Element einer einfachen Anforderung mit den Anmeldeinformationen des IAM-Benutzers namens `Alice`.
```
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "Alice"
}
```
**`userIdentity` mit temporären Sicherheitsanmeldeinformationen**
Das folgende Beispiel zeigt ein `userIdentity`-Element für eine Anforderung mit temporären Sicherheitsanmeldeinformationen, die durch Annahme einer IAM-Rolle erhalten wurden. Das Element enthält weitere Informationen über die Rolle, die angenommen wurde, um Anmeldeinformationen zu erhalten.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "123456789012",
"accessKeyId": "",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIDPPEZS35WEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "20131102T010628Z"
}
}
}
```
**`userIdentity` für eine Anforderung, die im Namen eines IAM-Identity-Center-Benutzers erstellt wurde**
Das folgende Beispiel zeigt ein `userIdentity`-Element für eine Anforderung, die im Namen eines IAM-Identity-Center-Benutzers erstellt wurde.
```
"userIdentity": {
"type": "IdentityCenterUser",
"accountId": "123456789012",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7"
},
"credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}
```
*Weitere Informationen zur Verwendung von `userId` `identityStoreArn``credentialId`, und finden Sie im IAM Identity Center-Benutzerhandbuch unter [Identifizieren des Benutzers und der Sitzung in benutzerinitiierten IAM Identity CloudTrail Center-Ereignissen](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html#user-session-iam-identity-center).*
**`userIdentity`mit einer vom Produktanbieter initiierten Anfrage**
Alle Aktionen, die von Produktanbietern mit temporärem delegiertem Zugriff ausgeführt werden, werden automatisch angemeldet. CloudTrail Dies bietet vollständige Transparenz und Überprüfbarkeit der Aktivitäten der Produktanbieter in Ihrem AWS Konto. Sie können feststellen, welche Maßnahmen von den Produktanbietern ergriffen wurden, wann sie durchgeführt wurden und von welchem Konto des Produktanbieters sie ausgeführt wurden.
Damit Sie zwischen Aktionen Ihrer eigenen IAM-Principals und Aktionen von Produktanbietern mit delegiertem Zugriff unterscheiden können, enthalten CloudTrail Ereignisse ein neues Feld, das `invokedByDelegate` unter dem Element aufgerufen wird. `userIdentity` Dieses Feld enthält die AWS Konto-ID des Produktanbieters, sodass Sie alle delegierten Aktionen einfach filtern und überprüfen können.
Das folgende Beispiel zeigt ein `userIdentity` Element für eine Aktion, die von einem Produktanbieter mithilfe eines temporären delegierten Zugriffs ausgeführt wird.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAI...",
"arn": "arn:aws:sts::123456789012:assumed-role/Alice/Session",
"accountId": "123456789012",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAI...",
"arn": "arn:aws:iam::123456789012:role/Alice",
"accountId": "123456789012",
"userName": "Alice"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "20131102T010628Z"
}
},
"invokedByDelegate": {
"accountId": "999999999999"
}
}
```
Das `invokedByDelegate` Feld enthält die AWS Konto-ID des Produktanbieters, der die Aktion mit delegiertem Zugriff ausgeführt hat. In diesem Beispiel hat das Konto 999999999999 (der Produktanbieter) eine Aktion im Konto 123456789012 (das Kundenkonto) ausgeführt.
## Felder
Die folgenden Felder können in einem `userIdentity` Element erscheinen.
**`type`**
Die Art der Identität. Die folgenden Werte sind möglich:
+ `Root`— Die Anfrage wurde mit Ihren Anmeldeinformationen gestellt. AWS-Konto Wenn der `userIdentity`-Typ `Root` lautet und Sie einen Alias für das Konto festlegen, enthält das Feld `userName` den Konto-Alias. Weitere Informationen finden Sie unter [Ihre AWS-Konto -ID und der zugehörige Alias](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html).
+ `IAMUser` – Die Anforderung wurde mit den Anmeldeinformationen eines IAM-Benutzers erstell.
+ `AssumedRole` – Die Anforderung wurde mit temporären Sicherheitsanmeldeinformationen erstellt, die mit einer Rolle durch einen Aufruf der AWS -Security-Token-Service (AWS STS) [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API erhalten wurden. Dies kann [Rollen für Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) und kontoübergreifenden API-Zugriff beinhalten.
+ `Role` – Die Anforderung wurde mit einer dauerhaften IAM-Identität, die über bestimmte Berechtigungen verfügt, erstellt. Der Aussteller der Rollensitzungen ist immer die Rolle. Weitere Informationen zu Rollen finden Sie unter [Begriffe und Konzepte zu Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) im *IAM-Benutzerhandbuch*.
+ `FederatedUser`— Die Anfrage wurde mit temporären Sicherheitsanmeldedaten gestellt, die durch einen API-Aufruf abgerufen wurden. AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) Das `sessionIssuer`-Element gibt an, wenn die API mit Root oder IAM-Benutzer-Anmeldeinformationen aufgerufen wurde.
Weitere Informationen zu temporären Anmeldeinformationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) im *IAM-Benutzerhandbuch*.
+ `Directory` – Die Anforderung wurde an einen Directory Service gestellt und der Typ ist unbekannt. Zu den Verzeichnisdiensten gehören: Amazon WorkDocs und Amazon Quick.
+ `AWSAccount`— Die Anfrage wurde von einem anderen gestellt AWS-Konto
+ `AWSService`— Die Anfrage wurde von einem gestellt AWS-Konto , der einem gehört AWS-Service. AWS Elastic Beanstalk Nimmt beispielsweise eine IAM-Rolle in Ihrem Konto an, um in Ihrem Namen andere AWS-Services Personen anzurufen.
+ `IdentityCenterUser`: Die Anforderung wurde im Namen eines IAM-Identity-Center-Benutzers erstellt.
+ `Unknown`— Die Anfrage wurde mit einem Identitätstyp gestellt, der nicht bestimmt CloudTrail werden kann.
**Optional:** False
`AWSAccount` und `AWSService` werden in den Protokollen für `type` angezeigt, wenn ein kontoübergreifender Zugriff über eine IAM-Rolle erfolgt, die Sie besitzen.
**Beispiel: Kontoübergreifender Zugriff, der von einem anderen AWS Konto initiiert wurde**
1. Sie besitzen eine IAM-Rolle in Ihrem Konto.
1. Ein anderes AWS Konto wechselt zu dieser Rolle, um die Rolle für Ihr Konto zu übernehmen.
1. Da Sie die IAM-Rolle besitzen, erhalten Sie ein Protokoll, aus dem hervorgeht, dass das andere Konto die Rolle übernommen hat. Der `type` ist `AWSAccount`. Ein Beispiel für einen Protokolleintrag finden Sie unter [AWS STS API-Ereignis in der CloudTrail Protokolldatei](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample).
**Beispiel: Kontoübergreifender Zugriff, der von einem AWS Dienst initiiert wurde**
1. Sie besitzen eine IAM-Rolle in Ihrem Konto.
1. Ein AWS Konto, das einem AWS Dienst gehört, übernimmt diese Rolle.
1. Da Sie die IAM-Rolle besitzen, erhalten Sie ein Protokoll, aus dem hervorgeht, dass der AWS -Service die Rolle angenommen hat. Das `type` ist `AWSService`.
**`userName`**
Der Anzeigename der Identität, von der der Aufruf stammt. Der angezeigte Wert `userName` basiert auf dem in `type` angegebenen Wert. Die folgende Tabelle zeigt das Verhältnis zwischen `type` und `userName`:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
Das Feld `userName` enthält die Zeichenfolge `HIDDEN_DUE_TO_SECURITY_REASONS`, wenn das aufgezeichnete Ereignis einen Anmeldefehler bei der Konsole aufgrund der Eingabe eines falschen Benutzernamens repräsentiert. CloudTrail zeichnet den Inhalt in diesem Fall nicht auf, weil der Text sensible Daten enthalten kann (siehe die folgenden Beispiele):
+ Ein Benutzer gibt versehentlich ein Passwort im Feld für den Benutzernamen ein.
+ Ein Benutzer klickt auf den Link für die Anmeldeseite eines AWS Kontos, gibt dann aber die Kontonummer für ein anderes Konto ein.
+ Ein Benutzer gibt versehentlich den Kontonamen eines persönlichen E-Mail-Kontos, eine Bank-Anmelde-ID oder eine andere private ID ein.
**Optional:** Wahr
**`principalId`**
Eine eindeutige ID für die Entität, von der der Aufruf stammt. Bei Abfragen mit temporären Sicherheitsanmeldeinformationen enthält dieser Wert den Sitzungsnamen, der an `AssumeRole`, `AssumeRoleWithWebIdentity` übergeben wurde, oder den `GetFederationToken` API-Aufruf.
**Optional:** Wahr
**`arn`**
Der Amazon-Ressourcenname (ARN) des Prinzipals, von dem der Aufruf stammt. Der letzte Abschnitt des ARN enthält den Benutzer oder die Rolle, von dem/der der Aufruf stammt.
**Optional:** Wahr
**`accountId`**
Das Konto, das die Entität besitzt, die die Berechtigungen für die Anforderung erteilte. Wenn die Anforderung mittels temporärer Sicherheitsanmeldeinformationen erfolgte, ist dies das Konto mit dem IAM-Benutzer oder der Rolle, der bzw. die verwendet wurde, um die Anmeldeinformationen abzurufen.
Wenn die Anforderung mit einem für IAM Identity Center autorisierten Zugriffstoken erstellt wurde, ist dies das Konto, zu dem die IAM-Identity-Center-Instance gehört.
**Optional:** Wahr
**`accessKeyId`**
Die -Zugriffsschlüssel-ID, die zum Signieren der Abfrage verwendet wurde. Erfolgte die Abfrage mittels temporärer Sicherheitsanmeldeinformationen, ist dies die Zugriffsschlüssel-ID der temporären Anmeldeinformationen. Aus Sicherheitsgründen ist `accessKeyId` möglicherweise nicht vorhanden oder wird als leere Zeichenfolge angezeigt.
**Optional:** Wahr
**`sessionContext`**
Erfolgte die Anforderung mittels temporärer Sicherheitsanmeldeinformationen, stellt `sessionContext` die Informationen über die Sitzung bereit, die für diese Anmeldeinformationen erstellt wurde. Sitzungen werden erstellt, wenn eine API aufgerufen wird, die temporäre Anmeldeinformationen zurückgibt. Benutzer erstellen auch Sitzungen, wenn sie in der Konsole arbeiten, und stellen APIs damit Anfragen, einschließlich [Multi-Faktor-Authentifizierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). Die folgenden Attribute können in `sessionContext` vorkommen:
+ `sessionIssuer`— Wenn ein Benutzer eine Anfrage mit temporären Sicherheitsanmeldedaten `sessionIssuer` stellt, werden Informationen darüber bereitgestellt, wie der Benutzer die Anmeldeinformationen erhalten hat. Wurden die temporären Sicherheitsanmeldeinformationen beispielsweise durch Annahme einer Rolle abgerufen, gibt dieses Element Auskunft über die entsprechende Rolle. Wurden die Anmeldeinformationen mit Root- oder IAM-Benutzer-Anmeldeinformationen abgerufen, um AWS STS `GetFederationToken` aufzurufen, stellt das Element Informationen zum Root-Konto oder IAM-Benutzer bereit. Dieses Element hat die folgenden Attribute:
+ `type` – Die Quelle der temporären Sicherheitsanmeldeinformationen wie z. B. `Root` (Stamm), `IAMUser` (IAM-Benutzer) oder `Role` (Rolle).
+ `userName` – Der Anzeigename des Benutzers oder der Rolle, die die Sitzung erstellt hat. Der angezeigte Wert ist vom `sessionIssuer`-Identitäts-`type` abhängig. Die folgende Tabelle zeigt das Verhältnis zwischen `sessionIssuer type` und `userName`:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
+ `principalId`: Die interne ID der Entität, die verwendet wurde, um die Anmeldeinformationen abzurufen.
+ `arn` – Der ARN der Quelle (Konto, IAM-Benutzer oder Rolle), der verwendet wurde, um die temporären Sicherheitsanmeldeinformationen zu erhalten.
+ `accountId` – Das Konto, das die Entität besitzt, die verwendet wurde, um die Anmeldeinformationen zu erhalten.
+ `webIdFederationData`— Wenn die Anfrage mit temporären Sicherheitsanmeldedaten gestellt wurde, die von [Web Identity Federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html) abgerufen wurden, `webIdFederationData` listet Informationen über den Identitätsanbieter auf.
Dieses Element hat die folgenden Attribute:
+ `federatedProvider` – Der Prinzipal-Name des Identitätsanbieters (z. B. `www.amazon.com` für Login with Amazon oder `accounts.google.com` für Google).
+ `attributes` – Die Anwendungs-ID und Benutzer-ID, wie sie vom Anbieter gemeldet wurden (z. B. `www.amazon.com:app_id` und `www.amazon.com:user_id` für Login with Amazon).
**Anmerkung**
Das Auslassen dieses Felds oder das Vorhandensein dieses Felds mit einem leeren Wert bedeutet, dass keine Informationen über den Identitätsanbieter vorliegen.
+ `assumedRoot`— Der Wert bezieht sich `true` auf eine temporäre Sitzung, wenn ein Verwaltungskonto oder ein delegierter Administrator anruft. AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html) Weitere Informationen finden Sie [ CloudTrailim *IAM-Benutzerhandbuch* unter Verfolgen privilegierter Aufgaben](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-track-privileged-tasks.html). Dies ist ein optionales Feld.
+ `attributes`— Die Attribute für die Sitzung.
+ `creationDate`– Das Datum und die Uhrzeit, zu dem/der die temporären Sicherheitsanmeldeinformationen ausgestellt wurden. Dargestellt in ISO 8601 grundlegende Notation.
+ `mfaAuthenticated`: Der Wert ist `true`, wenn der Root-Benutzer oder der IAM-Benutzer, dessen Anmeldeinformationen für die Anforderung verwendet wurden, auch über ein MFA-Gerät authentifiziert wurde. Anderenfalls lautet der Wert `false`.
+ `sourceIdentity` – Weitere Informationen finden Sie unter [AWS STS Quellidentität](#STS-API-source-identity) in diesem Thema. Das Feld `sourceIdentity` tritt in Ereignissen auf, wenn Benutzer eine IAM-Rolle annehmen, um eine Aktion auszuführen. `sourceIdentity` identifiziert die ursprüngliche Benutzeridentität, die die Anforderung erstellt, unabhängig davon, ob es sich bei der Identität um einen IAM-Benutzer, eine IAM-Rolle, einen Benutzer, der über einen SAML-basierten Verbund authentifiziert wurde, oder einen Benutzer handelt, der über einen OpenID Connect (OIDC)-konformen Web-Identitätsverbund authentifiziert wurde. Weitere Informationen AWS STS zur Konfiguration der Erfassung von Quellidentitätsinformationen finden Sie im *IAM-Benutzerhandbuch* unter [Überwachen und Steuern von Aktionen, die mit übernommenen Rollen durchgeführt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html) wurden.
+ `ec2RoleDelivery`— Der Wert ist, `1.0` wenn die Anmeldeinformationen von Amazon EC2 Instance Metadata Service Version 1 (IMDSv1) bereitgestellt wurden. Der Wert ist `2.0`, wenn die Anmeldeinformationen mithilfe des neuen IMDS-Schemas bereitgestellt wurden.
AWS Die vom Amazon EC2 Instance Metadata Service (IMDS) bereitgestellten Anmeldeinformationen beinhalten einen ec2: RoleDelivery IAM-Kontextschlüssel. Dieser Kontextschlüssel macht es einfach, die Verwendung des neuen Schemas auf resource-by-resource Or-Basis zu erzwingen, indem der Kontextschlüssel als Bedingung in IAM-Richtlinien, Ressourcenrichtlinien service-by-service oder Service-Kontrollrichtlinien verwendet wird. AWS Organizations Weitere Informationen finden Sie unter [Instance-Metadaten und Benutzerdaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) im *Amazon-EC2-Benutzerhandbuch*.
**Optional:** Wahr
**`invokedBy`**
Der Name desjenigen AWS-Service , der die Anfrage gestellt hat, wenn eine Anfrage von einem AWS-Service wie Amazon EC2 Auto Scaling oder AWS Elastic Beanstalk gestellt wird. Dieses Feld ist nur vorhanden, wenn eine Anfrage von einem AWS-Service gestellt wird. Dazu gehören Anfragen von Diensten, die Forward Access Sessions (FAS), AWS-Service Principals, serviceverknüpfte Rollen oder Dienstrollen verwenden, die von einem verwendet werden. AWS-Service
**Optional:** Wahr
**`invokedByDelegate`**
Verfolgt Anfragen von Produktanbietern, die temporären delegierten Zugriff in Ihrem Konto verwenden. AWS Dieses Feld wird nur angezeigt, wenn ein Produktanbieter mithilfe delegierter Berechtigungen eine API-Anfrage initiiert. Falls vorhanden, `invokedByDelegate` enthält es Informationen über das Konto des Produktanbieters, das die Anfrage gestellt hat. Dieses Element hat das folgende Attribut:
+ `accountId`— Die AWS Konto-ID des Produktanbieters, der die Anfrage initiiert hat.
Weitere Informationen und ein JSON-Beispiel für delegierten Zugriff bei CloudTrail Ereignissen finden Sie unter [CloudTrail Einträge für temporäre Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/temporary-delegation-cloudtrail.html) im *IAM-Benutzerhandbuch*.
**Optional:** Wahr
**`onBehalfOf`**
Wenn die Anforderung von einem IAM-Identity-Center-Aufrufer erstellt wurde, stellt `onBehalfOf` Informationen zur ID des IAM-Identity-Center-Benutzers und zum Identitätsspeicher-ARN bereit, für den der Aufruf getätigt wurde. Dieses Element hat die folgenden Attribute:
+ `userId`: Die ID des IAM-Identity-Center-Benutzers, in dessen Namen der Aufruf getätigt wurde.
+ `identityStoreArn`: Die ID des IAM-Identity-Center-Identitätsspeichers, in dessen Namen der Aufruf getätigt wurde.
**Optional:** Wahr
**`inScopeOf`**
Wenn die Anfrage im Rahmen eines gestellt wurde AWS-Service, z. B. Lambda oder Amazon ECS, enthält sie Informationen zu der Ressource oder den Anmeldeinformationen, die sich auf die Anfrage beziehen. Dieses Element kann die folgenden Attribute enthalten:
+ `sourceArn`— Der ARN der Ressource, die die service-to-service Anfrage aufgerufen hat.
+ `sourceAccount`— Die Besitzerkonto-ID für den`sourceArn`. Sie erscheint zusammen mit`sourceArn`.
+ `issuerType`— Der Ressourcentyp von`credentialsIssuedTo`. Beispiel, `AWS::Lambda::Function`.
+ `credentialsIssuedTo`— Die Ressource, die sich auf die Umgebung bezieht, in der die Anmeldeinformationen ausgestellt wurden.
**Optional:** Wahr
**`credentialId`**
Die Anmeldeinformationen-ID für die Anforderung. Dies wird nur festgelegt, wenn der Aufrufer ein Bearer-Token verwendet, z. B. ein für IAM Identity Center autorisiertes Zugriffstoken.
**Optional:** Wahr
## Werte für AWS STS APIs mit SAML und Web-Identitätsverbund
AWS CloudTrail unterstützt Logging AWS -Security-Token-Service (AWS STS) -API-Aufrufe, die mit Security Assertion Markup Language (SAML) und Web Identity Federation getätigt wurden. Wenn ein Benutzer das [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)und anruft [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) APIs, CloudTrail zeichnet er den Anruf auf und übermittelt das Ereignis an Ihren Amazon S3 S3-Bucket.
Das `userIdentity` Element für diese APIs enthält die folgenden Werte.
**`type`**
Den Identitätstyp.
+ `SAMLUser` – Die Abfrage erfolgte mit SAML-Zusicherung.
+ `WebIdentityUser` – Die Abfrage erfolgte über einen Web-Identitätsverbundanbieter.
**`principalId`**
Eine eindeutige ID für die Entität, von der der Aufruf stammt.
+ Bei einem `SAMLUser`ist dies eine Kombination aus `saml:namequalifier` und `saml:sub`-Schlüsseln.
+ Bei einem `WebIdentityUser`ist dies eine Kombination aus dem Aussteller, Anwendungs-ID und Benutzer-ID.
**`userName`**
Der Name der Identität, über die der Aufruf getätigt wurde.
+ Bei einem `SAMLUser`ist dies der `saml:sub`-Schlüssel.
+ Bei einem `WebIdentityUser` ist dies die Benutzer-ID.
**`identityProvider`**
Der Prinzipal-Name des externen Identitätsanbieters. Dieses Feld wird nur bei `SAMLUser` oder `WebIdentityUser`-Typen angezeigt.
+ Bei einem `SAMLUser`ist dies der `saml:namequalifier`-Schlüssel für die SAML-Zusicherung.
+ Bei einem `WebIdentityUser` ist dies der Aussteller-Name des Web-Identitätsverbundanbieters. Hierbei kann es sich um einen Anbieter, den Sie konfiguriert haben, handeln wie z .B.:
+ `cognito-identity.amazon.com` für Amazon Cognito
+ `www.amazon.com` für Login with Amazon
+ `accounts.google.com` für Google
+ `graph.facebook.com` für Facebook
Nachstehend finden Sie ein Beispiel eines `userIdentity`-Elements (Benutzeridentität) für die `AssumeRoleWithWebIdentity`-Aktion (Übernahme einer Rolle mit der Web-Identität).
```
"userIdentity": {
"type": "WebIdentityUser",
"principalId": "accounts.google.com:{{application-id}}.apps.googleusercontent.com:{{user-id}}",
"userName": "{{user-id}}",
"identityProvider": "accounts.google.com"
}
```
Ein Beispiel für Protokolle darüber, wie das `userIdentity` Element angezeigt wird `SAMLUser` und welche `WebIdentityUser` Typen es hat, finden Sie unter [Protokollieren von IAM- und AWS STS API-Aufrufen mit AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html).
## AWS STS Quellidentität
Ein IAM-Administrator kann so konfigurieren AWS -Security-Token-Service , dass Benutzer ihre Identität angeben müssen, wenn sie temporäre Anmeldeinformationen verwenden, um Rollen zu übernehmen. Das Feld `sourceIdentity` tritt in Ereignissen auf, wenn Benutzer eine IAM-Rolle annehmen oder Aktionen mit der angenommenen Rolle ausführen.
Das `sourceIdentity`-Feld identifiziert die ursprüngliche Benutzeridentität, die die Anforderung stellt, unabhängig davon, ob es sich bei der Identität dieses Benutzers um einen IAM-Benutzer, eine IAM-Rolle, einen Benutzer, der mit einem SAML-basierten Verbund authentifiziert wurde, oder einen Benutzer handelt, der mit einem OpenID-Connect-(OIDC)-konformen Web-Identitätsverbund authentifiziert wurde. Nach der Konfiguration durch den IAM-Administrator werden AWS STS`sourceIdentity` Informationen zu den folgenden Ereignissen und Orten im Ereignisdatensatz CloudTrail protokolliert:
+ Die AWS STS `AssumeRole`, oder `AssumeRoleWithWebIdentity` -Aufrufe`AssumeRoleWithSAML`, die eine Benutzeridentität tätigt, wenn sie eine Rolle übernimmt. `sourceIdentity`befindet sich im `requestParameters` Block der AWS STS Aufrufe.
+ Die `AssumeRoleWithWebIdentity` Aufrufe AWS STS `AssumeRole`, oder`AssumeRoleWithSAML`, die eine Benutzeridentität tätigt, wenn sie eine Rolle verwendet, um eine andere Rolle anzunehmen. Dies wird als [Rollenverkettung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining) bezeichnet. `sourceIdentity`befindet sich im `requestParameters` Block der AWS STS Aufrufe.
+ Die AWS Service-API ruft auf, die die Benutzeridentität ausgibt, während sie eine Rolle annimmt und die temporären Anmeldeinformationen verwendet, die von zugewiesen wurden AWS STS. In Service-API-Ereignissen befindet sich `sourceIdentity` im `sessionContext`-Block. Wenn beispielsweise eine Benutzeridentität einen neuen S3 Bucket erstellt, kommt `sourceIdentity` im `sessionContext`-Block des `CreateBucket`-Ereignisses vor.
Weitere Informationen AWS STS zur Konfiguration der Erfassung von Quellidentitätsinformationen finden Sie im *IAM-Benutzerhandbuch* unter [Überwachen und Steuern von Aktionen, die mit übernommenen Rollen ergriffen wurden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html). *Weitere Informationen zu AWS STS Ereignissen, die protokolliert werden CloudTrail, finden Sie AWS CloudTrail im [IAM-Benutzerhandbuch unter Protokollieren von IAM- und AWS STS API-Aufrufen mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html).*
Im Folgenden finden Sie Beispielausschnitte von Ereignissen, die das `sourceIdentity`-Feld anzeigen.
**Beispiel Abschnitt `requestParameters`**
Im folgenden Beispiel-Event-Snippet stellt ein Benutzer eine AWS STS `AssumeRole` Anfrage und legt eine Quellidentität fest, hier dargestellt durch. `{{source-identity-value-set}}` Der Benutzer übernimmt eine Rolle, die durch die Rollen-ARN `arn:aws:iam::123456789012:role/Assumed_Role` repräsentiert wird. Das `sourceIdentity`-Feld befindet sich im `requestParameters`-Block des Ereignisses.
```
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"accountId": "123456789012"
},
"eventTime": "2020-04-02T18:20:53Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.64",
"userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
"requestParameters": {
"roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
"roleSessionName": "Test1",
"sourceIdentity": "{{source-identity-value-set}}",
},
```
**Beispiel Abschnitt `responseElements`**
Im folgenden Beispiel-Event-Snippet stellt ein Benutzer eine AWS STS `AssumeRole` Anfrage zur Übernahme einer Rolle mit dem Namen und legt eine `Developer_Role` Quellidentität fest. `Admin` Der Benutzer übernimmt eine Rolle, die durch die Rollen-ARN `arn:aws:iam::111122223333:role/Developer_Role` repräsentiert wird. Das `sourceIdentity`-Feld befindet sich in den `requestParameters`- und `responseElements`-Blöcken des Ereignisses. Die temporären Anmeldeinformationen, die zum Annehmen der Rolle verwendet wurden, die Zeichenfolge des Sitzungstokens und die ID der angenommenen Rolle, der Sitzungsname und der Sitzungs-ARN werden zusammen mit der Quellidentität im `responseElements`-Block angezeigt.
```
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
"roleSessionName": "Session_Name",
"sourceIdentity": "Admin"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"expiration": "Jan 22, 2021 12:46:28 AM",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz"
},
"assumedRoleUser": {
"assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
},
"sourceIdentity": "Admin"
}
...
```
**Beispiel Abschnitt `sessionContext`**
Im folgenden Beispiel-Event-Snippet nimmt ein Benutzer eine Rolle an, die `DevRole` zum Aufrufen einer Service-API benannt ist. AWS Der Benutzer legt eine Quellidentität fest, hier dargestellt durch. {{source-identity-value-set}} Das `sourceIdentity`-Feld befindet sich im `sessionContext`-Block, innerhalb des `userIdentity`-Blocks des Ereignisses.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
"arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAJ45Q7YFFAREXAMPLE",
"arn": "arn: aws: iam: : 123456789012: role/DevRole",
"accountId": "123456789012",
"userName": "DevRole"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-02-21T23: 46: 28Z"
},
"sourceIdentity": "{{source-identity-value-set}}"
}
}
}
```