# CloudTrail
<a name="temporary-delegation-cloudtrail"></a>

Todas las acciones llevadas a cabo por los proveedores de productos mediante el acceso delegado temporal se registran automáticamente en AWS CloudTrail. Esto proporciona una visibilidad y una auditabilidad completas de la actividad del proveedor del producto en su cuenta de AWS. Puede identificar qué acciones llevaron a cabo los proveedores de productos, cuándo se produjeron y qué cuenta del proveedor del producto las efectuó.

Para ayudarlo a distinguir entre las acciones que llevan a cabo sus propias entidades principales de IAM y las que llevan a cabo los proveedores de productos con acceso delegado, los eventos de CloudTrail incluyen un nuevo campo denominado `invokedByDelegate` en el elemento `userIdentity`. Este campo contiene el ID de cuenta de AWS del proveedor del producto, lo que facilita el filtrado y la auditoría de todas las acciones delegadas.

## Estructura de los eventos de CloudTrail
<a name="temporary-delegation-cloudtrail-event-structure"></a>

En el ejemplo siguiente se muestra un evento de CloudTrail para una acción llevada a cabo por un proveedor de productos que utiliza el acceso delegado temporal:

```
{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

El campo `invokedByDelegate` contiene el ID de cuenta de AWS del proveedor del producto que llevó a cabo la acción mediante el acceso delegado. En este ejemplo, la cuenta 444455556666 (el proveedor del producto) llevó a cabo una acción en la cuenta 111122223333 (la cuenta del cliente).