Suivez les tâches privilégiées dans AWS CloudTrail - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Suivez les tâches privilégiées dans AWS CloudTrail

Le compte AWS Organizations de gestion ou un compte d'administrateur délégué pour IAM peut effectuer certaines tâches d'utilisateur root sur les comptes des membres en utilisant un accès root à court terme. Les sessions privilégiées de courte durée vous fournissent des informations d'identification temporaires que vous pouvez définir pour effectuer des actions privilégiées sur un compte membre de votre organisation. Vous pouvez suivre les étapes suivantes pour identifier les actions entreprises par le compte de gestion ou par un administrateur délégué au cours de la sts:AssumeRootsession.

Note

Le point de terminaison global n'est pas pris en charge poursts:AssumeRoot. CloudTrail enregistre les ConsoleLogin événements dans la région spécifiée pour le point de terminaison.

Pour suivre les actions effectuées par une session privilégiée dans les CloudTrail journaux

  1. Trouvez l'AssumeRootévénement dans vos CloudTrail journaux. Cet événement est généré lorsque votre compte de gestion ou l'administrateur délégué de IAM obtient un ensemble d'informations d'identification à court terme auprès dests:AssumeRoot.

    Dans l'exemple suivant, l' CloudTrail événement pour AssumeRoot est enregistré dans le eventName champ.

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1",
        "arn": "arn:aws:sts::111111111111:assumed-role/JohnDoe/JohnRole1",
        "accountId": "111111111111",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111111111111:role/JohnDoe",
                "accountId": "111111111111",
                "userName": "Admin2"
            },
            "webIdFederationData": {},
            "attributes": {
                "assumedRoot": "true",
                "creationDate": "2024-10-25T20:45:28Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
        }
    }
}

    Pour savoir comment accéder à vos CloudTrail journaux, consultez la section Obtenir et consulter vos fichiers CloudTrail journaux dans le guide de AWS CloudTrail l'utilisateur.

  2. Dans le journal des CloudTrail événements, recherchez celui targetPrincipal qui indique les actions effectuées sur le compte du membre et celui accessKeyId qui est propre à la AssumeRoot session.

    Dans l'exemple suivant, le targetPrincipal est 222222222222 et le est. accessKeyId ASIAIOSFODNN7EXAMPLE

    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
    }
}

  3. Dans les CloudTrail journaux du principal cible, recherchez l'ID de clé d'accès correspondant à la accessKeyId valeur de l'AssumeRootévénement. Utilisez les valeurs des eventName champs pour déterminer les tâches privilégiées effectuées pendant la AssumeRoot session. Plusieurs tâches privilégiées peuvent être effectuées au cours d'une même session. La durée maximale de session AssumeRoot est de 900 secondes (15 minutes).

    Dans l'exemple suivant, le compte de gestion ou l'administrateur délégué a supprimé la politique basée sur les ressources pour un compartiment Amazon S3.

    {
    "eventVersion": "1.10",
    "userIdentity": {
        "type": "Root",
        "principalId": "222222222222",
        "arn": "arn:aws:iam::222222222222:root",
        "accountId": "222222222222",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2024-10-25T20:52:11Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-10-25T20:53:47Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "DeleteBucketPolicy",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",
    "requestParameters": {
        "bucketName": "resource-policy-JohnDoe",
        "Host": "resource-policy-JohnDoe.s3.amazonaws.com",
        "policy": ""
    },
    "responseElements": null,
    "requestID": "1234567890abcdef0",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "readOnly": false,
    "resources": [
        {
            "accountId": "222222222222",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::resource-policy-JohnDoe"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "222222222222",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "resource-policy-JohnDoe.s3.amazonaws.com"
    }
}