Intégration du contexte utilisateur d'IAMIdentity Center dans CloudTrail les journaux - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration du contexte utilisateur d'IAMIdentity Center dans CloudTrail les journaux

Lake Formation utilise la fonctionnalité de distribution automatique d'informations d'identification pour fournir un accès temporaire aux données Amazon S3. Par défaut, lorsqu'un utilisateur d'IAMIdentity Center soumet une requête à un service d'analyse intégré, les CloudTrail journaux incluent uniquement le IAM rôle assumé par le service pour fournir un accès à court terme. Si vous utilisez un rôle défini par l'utilisateur pour enregistrer la localisation des données Amazon S3 auprès de Lake Formation, vous pouvez choisir d'inclure le contexte de l'utilisateur IAM Identity Center dans les CloudTrail événements, puis de suivre les utilisateurs qui accèdent à vos ressources.

Important

Pour inclure les API requêtes Amazon S3 au niveau de l'objet dans le CloudTrail, vous devez activer la journalisation des CloudTrail événements pour le compartiment et les objets Amazon S3. Pour plus d'informations, consultez la section Activation de la journalisation des CloudTrail événements pour les buckets et les objets Amazon S3 dans le guide de l'utilisateur Amazon S3.

Pour activer l'audit des distributeurs automatiques d'informations d'identification sur les sites des lacs de données enregistrés avec des rôles définis par l'utilisateur

  1. Connectez-vous à la console Lake Formation à l'adresse https://console.aws.amazon.com/lakeformation/.

  2. Dans le volet de navigation de gauche, développez Administration, puis sélectionnez Paramètres du catalogue de données.

  3. Sous Audit amélioré, choisissez Propager le contexte fourni.

  4. Choisissez Save (Enregistrer).

Vous pouvez également activer l'option d'audit améliorée en définissant l'Parametersattribut dans l'PutDataLakeSettingsopération. Par défaut, la valeur du SET_CONTEXT" paramètre est définie sur « true ».

{
    "DataLakeSettings": {
        "Parameters": {"SET_CONTEXT": "true"},
    }
}

Ce qui suit est un extrait d'un CloudTrail événement avec l'option d'audit améliorée. Ce journal inclut à la fois le contexte de session de l'utilisateur d'IAMIdentity Center et le IAM rôle défini par l'utilisateur assumé par Lake Formation pour accéder à l'emplacement des données Amazon S3. Consultez le onBehalfOf paramètre dans l'extrait suivant.

{
         "eventVersion":"1.09",
         "userIdentity":{
            "type":"AssumedRole",
            "principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
            "arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",           
            "accountId":"123456789012",
            "accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
            "sessionContext":{
               "sessionIssuer":{
                  "type":"Role",
                  "principalId":"AROAW7F7MOX4OYE6FLIFN",
                  "arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
                  "accountId":"123456789012",
                  "userName":"accessGrantsTestRole"
               },
               "attributes":{
                  "creationDate":"2023-08-09T17:24:02Z",
                  "mfaAuthenticated":"false"
               }
            },
            "onBehalfOf":{
                "userId": "<identityStoreUserId>",
                "identityStoreArn": "arn:aws:identitystore::<restOfIdentityStoreArn>"
            }
         },
         "eventTime":"2023-08-09T17:25:43Z",
         "eventSource":"s3.amazonaws.com",
         "eventName":"GetObject",
    ....