Einbeziehen des IAM Identity Center-Benutzerkontextes in die CloudTrail Protokolle - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einbeziehen des IAM Identity Center-Benutzerkontextes in die CloudTrail Protokolle

Lake Formation verwendet die Verkaufsfunktion für Anmeldeinformationen, um temporären Zugriff auf Amazon S3 S3-Daten zu ermöglichen. Wenn ein IAM Identity Center-Benutzer eine Anfrage an einen integrierten Analysedienst sendet, enthalten die CloudTrail Protokolle standardmäßig nur die IAM Rolle, die der Dienst bei der Bereitstellung des kurzfristigen Zugriffs einnimmt. Wenn Sie eine benutzerdefinierte Rolle verwenden, um den Amazon S3 S3-Datenstandort bei Lake Formation zu registrieren, können Sie sich dafür entscheiden, den Kontext des IAM Identity Center-Benutzers in die CloudTrail Ereignisse einzubeziehen und dann die Benutzer zu verfolgen, die auf Ihre Ressourcen zugreifen.

Wichtig

Um Amazon S3 API S3-Anfragen auf Objektebene in das aufzunehmen CloudTrail, müssen Sie die CloudTrail Ereignisprotokollierung für Amazon S3 S3-Bucket und Objekte aktivieren. Weitere Informationen finden Sie unter Aktivieren der CloudTrail Ereignisprotokollierung für Amazon S3 S3-Buckets und -Objekte im Amazon S3 S3-Benutzerhandbuch.

So aktivieren Sie die Prüfung von Anmeldedaten an Data Lake-Standorten, die mit benutzerdefinierten Rollen registriert sind

  1. Melden Sie sich bei der Lake Formation Formation-Konsole unter an https://console.aws.amazon.com/lakeformation/.

  2. Erweitern Sie in der linken Navigationsleiste die Option Administration und wählen Sie Datenkatalogeinstellungen aus.

  3. Wählen Sie unter Erweitertes Auditing die Option Bereitgestellten Kontext weitergeben aus.

  4. Wählen Sie Save (Speichern) aus.

Sie können die erweiterte Überwachungsoption auch aktivieren, indem Sie das Parameters Attribut im PutDataLakeSettingsVorgang festlegen. Standardmäßig ist der SET_CONTEXT" Parameterwert auf „true“ gesetzt.

{
    "DataLakeSettings": {
        "Parameters": {"SET_CONTEXT": "true"},
    }
}

Im Folgenden finden Sie einen Auszug aus einem CloudTrail Ereignis mit der erweiterten Überwachungsoption. Dieses Protokoll enthält sowohl den Sitzungskontext des IAM Identity Center-Benutzers als auch die benutzerdefinierte IAM Rolle, die Lake Formation für den Zugriff auf den Amazon S3 S3-Datenstandort übernommen hat. Sehen Sie sich den onBehalfOf Parameter im folgenden Auszug an.

{
         "eventVersion":"1.09",
         "userIdentity":{
            "type":"AssumedRole",
            "principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
            "arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",           
            "accountId":"123456789012",
            "accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
            "sessionContext":{
               "sessionIssuer":{
                  "type":"Role",
                  "principalId":"AROAW7F7MOX4OYE6FLIFN",
                  "arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
                  "accountId":"123456789012",
                  "userName":"accessGrantsTestRole"
               },
               "attributes":{
                  "creationDate":"2023-08-09T17:24:02Z",
                  "mfaAuthenticated":"false"
               }
            },
            "onBehalfOf":{
                "userId": "<identityStoreUserId>",
                "identityStoreArn": "arn:aws:identitystore::<restOfIdentityStoreArn>"
            }
         },
         "eventTime":"2023-08-09T17:25:43Z",
         "eventSource":"s3.amazonaws.com",
         "eventName":"GetObject",
    ....