CloudTrail userIdentity élément - AWS CloudTrail
ExemplesChampsValeurs de la fédération des identités «  AWS STS  APIs with » SAML et « web identity federation »AWS STS identité de la source

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail userIdentity élément

AWS Identity and Access Management (IAM) fournit différents types d'identités. L'élément userIdentity contient des détails sur le type d'identité IAM ayant effectué la demande, ainsi que les informations d'identification qui ont été utilisées. Si des informations d'identification temporaires ont été utilisées, l'élément montre comment ces informations d'identification ont été obtenues.

Exemples

userIdentity avec les informations d'identification utilisateur IAM

L'exemple suivant montre l'élément userIdentity d'une demande simple faite avec les informations d'identification de l'utilisateur IAM nommé Alice. 

"userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDAJ45Q7YFFAREXAMPLE",
    "arn": "arn:aws:iam::123456789012:user/Alice",
    "accountId": "123456789012",
    "accessKeyId": "",
    "userName": "Alice"
}

userIdentity avec des informations d'identification de sécurité temporaires

L'exemple suivant présente un élément userIdentity pour une demande faite avec des informations d'identification de sécurité temporaires obtenues en assumant un rôle IAM. L'élément contient des détails supplémentaires concernant le rôle qui a été assumé pour obtenir des informations d'identification. 

"userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
    "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
    "accountId": "123456789012",
    "accessKeyId": "",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAIDPPEZS35WEXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
            "accountId": "123456789012",
            "userName": "RoleToBeAssumed"
        },
        "attributes": {
            "mfaAuthenticated": "false",
            "creationDate": "20131102T010628Z"
        )
      
    }
}

userIdentitypour une demande effectuée au nom d'un utilisateur d'IAMIdentity Center

L'exemple suivant montre un userIdentity élément pour une demande effectuée au nom d'un utilisateur d'IAMIdentity Center. 

"userIdentity": {
    "type": "IdentityCenterUser",
    "accountId": "123456789012",
    "onBehalfOf": {
        "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
        "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7" 
    },
    "credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}

Pour en savoir plus sur la manière dont vous pouvez utiliseruserId, et identityStoreArncredentialId, voir Identification de l'utilisateur et de la session dans les événements initiés par l'utilisateur IAM CloudTrail d'Identity Center dans le guide de l'utilisateur d'IAMIdentity Center.

Champs

Les champs suivants peuvent apparaître dans un élément userIdentity.

type

Type d’identité. Les valeurs suivantes sont possibles :

  • Root— La demande a été faite avec vos Compte AWS informations d'identification. Si le type de userIdentity est Root et que vous définissez un alias pour votre compte, le champ userName contient l'alias de votre compte. Pour plus d'informations, veuillez consulter Votre ID de compte Compte AWS et son alias.

  • IAMUser— La demande a été faite avec les informations d'identification d'un IAM utilisateur.

  • AssumedRole— La demande a été faite avec des informations de sécurité temporaires obtenues avec un rôle en appelant le AWS Security Token Service (AWS STS) AssumeRoleAPI. Cela peut inclure des rôles pour Amazon EC2 et un API accès entre comptes.

  • Role— La demande a été faite avec une IAM identité persistante dotée d'autorisations spécifiques. L'émetteur des sessions de rôle est toujours le rôle. Pour plus d'informations sur les rôles, consultez la section Termes et concepts relatifs aux rôles dans le Guide de IAM l'utilisateur.

  • FederatedUser— La demande a été faite avec des informations de sécurité temporaires obtenues lors d'un appel au AWS STS GetFederationTokenAPI. L'sessionIssuerélément indique s'il a API été appelé avec les informations IAM d'identification root ou utilisateur.

    Pour plus d'informations sur les informations d'identification de sécurité temporaires, consultez la section Informations d'identification de sécurité temporaires dans le guide de IAM l'utilisateur.

  • Directory – La demande a été faite à un directory service et le type est inconnu. Les services d'annuaire incluent les suivants : Amazon WorkDocs et Amazon QuickSight.

  • AWSAccount— La demande a été faite par un autre Compte AWS

  • AWSService— La demande a été faite par un Compte AWS membre appartenant à un Service AWS. Par exemple, AWS Elastic Beanstalk assume un IAM rôle dans votre compte pour appeler d'autres personnes Services AWS en votre nom.

  • IdentityCenterUser— La demande a été faite au nom d'un utilisateur de IAM l'Identity Center.

  • Unknown— La demande a été faite avec un type d'identité CloudTrail impossible à déterminer.

Facultatif : False

AWSAccount et AWSService apparaissent pour type dans vos journaux lorsqu'il y a un accès entre comptes à l'aide d'un rôle IAM que vous possédez.

Exemple : Accès entre comptes initié par un autre compte AWS

  1. Vous possédez un rôle IAM dans votre compte.

  2. Un autre AWS compte passe à ce rôle pour assumer le rôle de votre compte.

  3. Etant donné que vous possédez le rôle IAM, vous recevez un journal qui indique que l'autre compte a endossé le rôle. Le type est AWSAccount. Pour un exemple d'entrée de journal, voir AWS STS APIévénement dans le fichier CloudTrail journal.

Exemple : accès entre comptes initié par un service AWS

  1. Vous possédez un rôle IAM dans votre compte.

  2. Un AWS compte appartenant à un AWS service assume ce rôle.

  3. Etant donné que vous possédez le rôle IAM, vous recevez un journal qui indique que le service AWS a endossé le rôle. Le type est AWSService.

userName

Nom descriptif de l'identité qui a réalisé l'appel. La valeur qui s'affiche dans userName s'appuie sur la valeur de type. Le tableau suivant illustre la relation entre type et userName :

type userName Description
Root (aucun alias défini) Absent Si vous n'avez pas configuré d'alias pour votre Compte AWS, le userName champ n'apparaît pas. Pour plus d'informations sur les alias de compte, consultez Votre Compte AWS identifiant et son alias. Notez que le champ userName ne peut pas contenir Root, car Root est un type d'identité, et pas un nom d'utilisateur.
Root (alias défini) Alias du compte Pour plus d'informations sur Compte AWS les alias, consultez la section Votre Compte AWS identifiant et son alias.
IAMUser Nom descriptif de l'utilisateur IAM.

AssumedRole

 Absent Pour le type AssumedRole, vous trouverez le champ userName dans sessionContext comme partie de l'élément sessionIssuer. Pour obtenir un exemple de saisie, consultez Exemples.

Role

 Défini par l'utilisateur Les sections sessionContext et sessionIssuer contiennent des informations concernant l'identité qui a publié la séance pour le rôle.
FederatedUser Absent Les sections sessionContext et sessionIssuer contiennent des informations concernant l'identité qui a publié la session pour l'utilisateur fédéré.
Directory Peut être présent Par exemple, la valeur peut être l'alias du compte ou l'adresse e-mail de l'ID de compte Compte AWS.
AWSService Absent
AWSAccount Absent
IdentityCenterUser Absent La onBehalfOf section contient des informations sur l'IAMID utilisateur et le magasin d'identités Identity Center ARN pour lesquels l'appel a été effectué. Pour en savoir plus sur l'utilisation de ces deux champs, consultez Identification de l'utilisateur et de la session dans les événements initiés par CloudTrail l'utilisateur IAM d'Identity Center. dans le guide de l'utilisateur d'IAMIdentity Center.
Unknown Peut être présent Par exemple, la valeur peut être l'alias du compte ou l'adresse e-mail de l'ID de compte Compte AWS.
Note

Le champ userName contient la chaîne HIDDEN_DUE_TO_SECURITY_REASONS lorsque l'événement enregistré est un échec de connexion à la console provoqué par la saisie d'un nom d'utilisateur incorrect. Dans ce cas, CloudTrail n'enregistre pas le contenu car le texte risque de contenir des informations sensibles, comme dans les exemples suivants :

  • Un utilisateur tape par erreur un mot de passe dans le champ de nom d'utilisateur.

  • Un utilisateur clique sur le lien menant à la page de connexion d'un AWS compte, puis saisit le numéro de compte d'un autre compte.

  • Un utilisateur tape accidentellement le nom d'un compte de messagerie personnelle, un identifiant de connexion bancaire ou un autre ID privé.

Facultatif : True

principalId

Identifiant unique de l'entité qui a effectué l'appel. Pour les demandes effectuées avec des informations d'identification de sécurité temporaires, cette valeur inclut le nom de session transmis à l'GetFederationTokenAPIappel AssumeRoleAssumeRoleWithWebIdentity, ou.

Facultatif : True

arn

Le nom de ressource Amazon (ARN) du principal qui a effectué l'appel. La dernière partie de l'ARN contient l'utilisateur ou le rôle qui a réalisé l'appel.

Facultatif : True

accountId

Compte propriétaire de l'entité qui a accordé les autorisations pour la demande. Si la demande a été faite avec des informations d'identification de sécurité temporaires, il s'agit du compte propriétaire de l'IAMutilisateur ou du rôle utilisé pour obtenir les informations d'identification.

Si la demande a été faite avec un jeton d'accès autorisé IAM Identity Center, il s'agit du compte propriétaire de l'instance IAM Identity Center.

Facultatif : True

accessKeyId

ID de clé d’accès utilisé pour signer la demande. Si la demande a été faite avec des informations d’identification de sécurité temporaires, il s’agit de l’ID de clé d’accès des informations d’identification temporaires. Pour des raisons de sécurité,accessKeyId peut ne pas être présent ou être affiché sous la forme d'une chaîne vide.

Facultatif : True

sessionContext

Si la demande a été effectuée avec les informations d'identification de sécurité temporaires, sessionContext fournit des informations sur la session créée pour ces informations d'identification. Vous créez une session lorsque vous appelez une personne API renvoyant des informations d'identification temporaires. Les utilisateurs créent également des sessions lorsqu'ils travaillent dans la console et font des demandes APIs qui incluent l'authentification multifactorielle. Les attributs suivants peuvent apparaître dans sessionContext :

  • sessionIssuer— Si un utilisateur fait une demande avec des informations de sécurité temporaires, sessionIssuer fournit des informations sur la manière dont il a obtenu les informations d'identification. Par exemple, s'il a obtenu des informations d'identification temporaires en endossant un rôle, cet élément fournit des informations sur le rôle endossé. S'ils ont obtenu des informations d'identification avec les informations IAM d'identification root ou utilisateur à appeler AWS STS GetFederationToken, l'élément fournit des informations sur le compte ou IAM l'utilisateur root. Cet élément prend en charge les attributs suivants :

    • type - La source des informations d'identification de sécurité temporaires, par exemple Root, IAMUser ou Role.

    • userName - Le nom descriptif de l'utilisateur ou du rôle qui a établi la session. La valeur qui s'affiche dépend du sessionIssuer d'identité type. Le tableau suivant illustre la relation entre sessionIssuer type et userName :

      sessionIssuer type userName Description
      Root (aucun alias défini) Absent Si vous n'avez pas défini d'alias pour votre compte, le champ userName n'apparaît pas. Pour plus d'informations sur Compte AWS les alias, consultez la section Votre Compte AWS identifiant et son alias. Notez que le champ userName ne peut pas contenir Root, car Root est un type d'identité, pas un nom d'utilisateur.
      Root (alias défini) Alias du compte Pour plus d'informations sur les Compte AWS alias, consultez la section Votre identifiant de AWS compte et son alias.
      IAMUser Nom descriptif de l'utilisateur IAM. Cela s'applique également lorsqu'un utilisateur fédéré utilise une session établie par IAMUser.
      Role Nom du rôle Rôle assumé par un IAM utilisateur Service AWS, ou utilisateur fédéré par identité Web dans une session de rôle.

    • principalId : l'ID interne de l'entité qui a été utilisée pour obtenir des informations d'identification.

    • arn— La ARN source (compte, IAM utilisateur ou rôle) qui a été utilisée pour obtenir des informations d'identification de sécurité temporaires.

    • accountId - Le compte propriétaire de l'entité qui a été utilisée pour obtenir des informations d'identification.

  • webIdFederationData— Si la demande a été faite avec des informations de sécurité temporaires obtenues par la fédération d'identité Web, webIdFederationData répertorie les informations sur le fournisseur d'identité.

    Cet élément prend en charge les attributs suivants :

    • federatedProvider - Le nom principal du fournisseur d'identités (par exemple, www.amazon.com pour Login with Amazon ou accounts.google.com pour Google).

    • attributes - ID d'application et ID d'utilisateur tels qu'indiqués par le fournisseur (par exemple, www.amazon.com:app_id et www.amazon.com:user_id pour Login with Amazon).

    Note

    L'omission de ce champ ou la présence de ce champ avec une valeur vide signifie qu'il n'y a aucune information sur le fournisseur d'identité.

  • attributes— Les attributs de la session.

    • assumedRoot— La valeur correspond true à une session temporaire lorsqu'un compte de gestion ou un administrateur délégué appelle AWS STS AssumedRoot. Pour plus d'informations, consultez la section Suivi des tâches privilégiées CloudTrail dans le Guide de IAM l'utilisateur.

    • creationDate - La date et l'heure auxquelles les informations d'identification de sécurité temporaires ont été émises. Représenté en notation de base ISO 8601.

    • mfaAuthenticated— La valeur est true si l'utilisateur root ou l'IAMutilisateur qui a utilisé ses informations d'identification pour la demande s'est également authentifié auprès d'un MFA appareil ; sinon,false.

  • sourceIdentity— Consultez AWS STS identité de la source dans cette rubrique. Le sourceIdentity champ apparaît lors d'événements où les utilisateurs assument un IAM rôle pour effectuer une action. sourceIdentityidentifie l'identité de l'utilisateur d'origine à l'origine de la demande, qu'il s'agisse IAM d'un utilisateur, d'un IAM rôle, d'un utilisateur authentifié via une fédération SAML basée ou d'un utilisateur authentifié via une fédération d'identité Web conforme à OpenID Connect (OIDC). Pour plus d'informations sur la configuration AWS STS de la collecte des informations d'identité de la source, consultez la section Surveillance et contrôle des actions entreprises avec des rôles assumés dans le Guide de IAM l'utilisateur.

  • ec2RoleDelivery— La valeur est 1.0 si les informations d'identification ont été fournies par Amazon EC2 Instance Metadata Service version 1 (IMDSv1). La valeur est 2.0 si les informations d'identification ont été fournies à l'aide du nouveau IMDS schéma.

    AWS les informations d'identification fournies par le service de métadonnées d'EC2instance Amazon (IMDS) incluent une clé de RoleDelivery IAM contexte ec2 :. Cette clé de contexte facilite l'application du nouveau schéma sur une resource-by-resource base service-by-service ou en utilisant la clé de contexte comme condition dans les IAM politiques, les politiques de ressources ou les politiques de contrôle des AWS Organizations services. Pour plus d'informations, consultez la section Métadonnées de l'instance et données utilisateur dans le guide de EC2 l'utilisateur Amazon.

Facultatif : True

invokedBy

Le nom de l'auteur Service AWS de la demande, lorsqu'une demande est faite par un organisme Service AWS tel qu'Amazon EC2 Auto Scaling ou AWS Elastic Beanstalk. Ce champ n'est présent que lorsqu'une demande est faite par un Service AWS. Cela inclut les demandes effectuées par des services utilisant des sessions d'accès direct (FAS), Service AWS des principaux, des rôles liés à un service ou des rôles de service utilisés par un. Service AWS

Facultatif : True

onBehalfOf

Si la demande a été faite par un appelant du IAM Identity Center, onBehalfOf fournit des informations sur l'ID utilisateur de l'IAMIdentity Center et le magasin d'identités ARN pour lesquels l'appel a été effectué. Cet élément prend en charge les attributs suivants :

  • userId— L'ID de l'utilisateur du centre d'IAMidentité au nom duquel l'appel a été passé.

  • identityStoreArn— Le nom ARN de la IAM banque d'identités Identity Center pour le compte de laquelle l'appel a été passé.

Facultatif : True

inScopeOf

Si la demande a été faite dans le cadre d'un Service AWS, tel que Lambda ou AmazonECS, elle fournit des informations sur la ressource ou les informations d'identification associées à la demande. Cet élément peut contenir les attributs suivants :

  • sourceArn— Le nom ARN de la ressource qui a invoqué la service-to-service demande.

  • sourceAccount— L'identifiant du compte propriétaire dusourceArn. Il apparaît avecsourceArn.

  • issuerType— Le type de ressource decredentialsIssuedTo. Par exemple, AWS::Lambda::Function.

  • credentialsIssuedTo— La ressource liée à l'environnement dans lequel les informations d'identification ont été émises.

Facultatif : True

credentialId

L'ID des informations d'identification de la demande. Ceci n'est défini que lorsque l'appelant utilise un jeton porteur, tel qu'un jeton d'accès autorisé IAM Identity Center.

Facultatif : True

Valeurs de la fédération des identités «  AWS STS  APIs with » SAML et « web identity federation »

AWS CloudTrail prend en charge les API appels logging AWS Security Token Service (AWS STS) effectués avec le langage de balisage d'assertions de sécurité (SAML) et la fédération d'identité Web. Lorsqu'un utilisateur appelle le AssumeRoleWithSAMLet AssumeRoleWithWebIdentityAPIs, CloudTrail enregistre l'appel et transmet l'événement à votre compartiment Amazon S3.

L'userIdentityélément correspondant APIs contient les valeurs suivantes.

type

Type d'identité.

  • SAMLUser— La demande a été faite avec SAML assertion.

  • WebIdentityUser - La demande a été effectuée par un fournisseur de fédération d'identité Web.

principalId

Identifiant unique de l'entité qui a effectué l'appel.

  • Pour SAMLUser, il s'agit d'une combinaison de clés saml:namequalifier et saml:sub.

  • Pour WebIdentityUser, il s'agit d'une combinaison de l'émetteur, l'ID de l'application et l'ID de l'utilisateur.

userName

Nom de l'identité qui a réalisé l'appel.

  • Pour SAMLUser, il s'agit de la clé saml:sub.

  • Pour WebIdentityUser, il s'agit de l'ID d'utilisateur.

identityProvider

Nom principal du fournisseur d'identité externes. Ce champ s'affiche uniquement pour les types SAMLUser ou WebIdentityUser.

  • Car SAMLUser c'est la saml:namequalifier clé de l'SAMLassertion.

  • Pour WebIdentityUser, il s'agit du nom d'auteur du fournisseur de fédération d'identité Web. Il peut s'agir d'un fournisseur que vous avez configuré, tel que :

    • cognito-identity.amazon.com pour Amazon Cognito

    • www.amazon.com pour Login with Amazon

    • accounts.google.com pour Google

    • graph.facebook.com pour Facebook

Voici un exemple d'élément userIdentity pour l'action AssumeRoleWithWebIdentity.

"userIdentity": {
    "type": "WebIdentityUser",
    "principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id",
    "userName": "user-id",
    "identityProvider": "accounts.google.com"
  }

Par exemple, des journaux indiquant l'apparence SAMLUser et les WebIdentityUser types de l'userIdentityélément, voir Journalisation IAM et AWS STS API appels avec AWS CloudTrail.

AWS STS identité de la source

Un IAM administrateur peut configurer AWS Security Token Service pour obliger les utilisateurs à spécifier leur identité lorsqu'ils utilisent des informations d'identification temporaires pour assumer des rôles. Le sourceIdentity champ apparaît dans les événements où les utilisateurs assument un IAM rôle ou exécutent des actions avec le rôle assumé.

Le sourceIdentity champ identifie l'identité de l'utilisateur d'origine à l'origine de la demande, qu'il s'agisse d'un IAM utilisateur, d'un IAM rôle, d'un utilisateur authentifié à l'aide d'une fédération SAML basée ou d'un utilisateur authentifié à l'aide d'une fédération d'identité Web conforme à OpenID Connect (OIDC). Une fois que l'IAMadministrateur a configuré AWS STS, CloudTrail enregistre les sourceIdentity informations relatives aux événements et aux emplacements suivants dans l'enregistrement des événements :

  • Le ou AWS STS AssumeRole AssumeRoleWithSAML les AssumeRoleWithWebIdentity appels qu'une identité d'utilisateur effectue lorsqu'elle assume un rôle. sourceIdentityse trouve dans le requestParameters bloc des AWS STS appels.

  • Le ou AWS STS AssumeRole les AssumeRoleWithSAML AssumeRoleWithWebIdentity appels qu'une identité d'utilisateur effectue si elle utilise un rôle pour assumer un autre rôle, c'est ce que l'on appelle le chaînage de rôles. sourceIdentityse trouve dans le requestParameters bloc des AWS STS appels.

  • Le AWS service effectue les API appels que l'identité de l'utilisateur effectue en assumant un rôle et en utilisant les informations d'identification temporaires attribuées par AWS STS. Dans les API événements de service, se sourceIdentity trouve dans le sessionContext bloc. Par exemple, si une identité utilisateur crée un nouveau compartiment S3, sourceIdentity se produit dans le bloc sessionContextde l'événement CreateBucket.

Pour plus d'informations sur la configuration AWS STS de la collecte des informations d'identité de la source, consultez la section Surveillance et contrôle des actions entreprises avec des rôles assumés dans le Guide de IAM l'utilisateur. Pour plus d'informations sur les AWS STS événements auxquels vous êtes connecté CloudTrail, consultez la section Journalisation IAM et AWS STS API appels avec AWS CloudTrail dans le Guide de IAM l'utilisateur.

Les exemples suivants sont des extraits d'événements qui montrent la sourceIdentity.

Exemple de la section requestParameters

Dans l'exemple d'extrait d'événement suivant, un utilisateur fait une AWS STS AssumeRole demande et définit une identité source, représentée ici par. source-identity-value-set L'utilisateur assume un rôle représenté par le rôle ARNarn:aws:iam::123456789012:role/Assumed_Role. Le champ sourceIdentity se trouve dans le bloc requestParameters de l'événement.

"eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AIDAJ45Q7YFFAREXAMPLE",
        "accountId": "123456789012"
    },
    "eventTime": "2020-04-02T18:20:53Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "203.0.113.64",
    "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
    "requestParameters": {
        "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
        "roleSessionName": "Test1",
        "sourceIdentity": "source-identity-value-set",
    },

Exemple de la section responseElements

Dans l'exemple d'extrait d'événement suivant, un utilisateur AWS STS AssumeRole demande à assumer un rôle nommé Developer_Role et définit une identité source. Admin L'utilisateur assume un rôle représenté par le rôle ARNarn:aws:iam::111122223333:role/Developer_Role. Le champ sourceIdentity est affiché à la fois dans les blocs requestParameters et responseElements de l'événement. Les informations d'identification temporaires utilisées pour assumer le rôle, la chaîne du jeton de session, l'ID de rôle supposé, le nom de session et la session ARN sont affichés dans le responseElements bloc, ainsi que l'identité de la source.

    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
        "roleSessionName": "Session_Name",
        "sourceIdentity": "Admin"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "expiration": "Jan 22, 2021 12:46:28 AM",
            "sessionToken": "XXYYaz...
                             EXAMPLE_SESSION_TOKEN
                             XXyYaZAz"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
            "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
        },
        "sourceIdentity": "Admin"
    }
...

Exemple de la section sessionContext

Dans l'exemple d'extrait d'événement suivant, un utilisateur assume un rôle nommé DevRole pour appeler un AWS service. API L'utilisateur définit une identité source, représentée ici parsource-identity-value-set. Le champ sourceIdentity se trouve dans le bloc sessionContext, à l'intérieur du bloc userIdentity de l'événement.

{
  "eventVersion": "1.08",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
    "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
    "accountId": "123456789012",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAJ45Q7YFFAREXAMPLE",
        "arn": "arn: aws: iam: : 123456789012: role/DevRole",
        "accountId": "123456789012",
        "userName": "DevRole"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2021-02-21T23: 46: 28Z"
      },
      "sourceIdentity": "source-identity-value-set"
    }
  }
}