Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mencatat panggilan IAM dan AWS STS API dengan AWS CloudTrail
IAM dan AWS STS terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna atau peran IAM. CloudTrail menangkap semua panggilan API untuk IAM dan AWS STS sebagai peristiwa, termasuk panggilan dari konsol dan dari panggilan API. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon S3. Jika Anda tidak membuat konfigurasi jejak, Anda masih dapat melihat kejadian terbaru dalam konsol CloudTrail di **Riwayat peristiwa**. Anda dapat menggunakan CloudTrail untuk mendapatkan informasi tentang permintaan yang dibuat untuk IAM atau AWS STS. Misalnya, Anda dapat melihat alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan itu dibuat, dan rincian tambahan.
Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [
## IAM dan AWS STS informasi di CloudTrail
](#iam-info-in-cloudtrail)
+ [
## Pencatatan permintaan IAM dan AWS STS API
](#cloudtrail-integration_apis)
+ [
## Logging permintaan API ke AWS layanan lain
](#cloudtrail-integration_api-other-services)
+ [
## Mencatat peristiwa masuk pengguna
](#cloudtrail-integration_signin-users)
+ [
## Mencatat peristiwa masuk untuk kredensial sementara
](#cloudtrail-integration_signin-tempcreds)
+ [
## Contoh peristiwa API IAM di log CloudTrail
](#cloudtrail-integration_examples-iam-api)
+ [
## Contoh peristiwa AWS STS API di CloudTrail log
](#cloudtrail-integration_examples-sts-api)
+ [
## Contoh peristiwa masuk di CloudTrail log
](#cloudtrail-integration_examples-signin)
+ [
## Perilaku kebijakan kepercayaan peran IAM
](#cloudtrail-integration_role-trust-behavior)
## IAM dan AWS STS informasi di CloudTrail
CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Ketika aktivitas terjadi di IAM atau AWS STS, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di situs Anda Akun AWS. Untuk informasi selengkapnya, lihat [Melihat Acara dengan Riwayat CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan acara yang sedang berlangsung di Anda Akun AWS, termasuk acara untuk IAM dan AWS STS, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol tersebut, jejak diterapkan ke semua Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi lebih lanjut, lihat:
+ [Gambaran Umum untuk Membuat Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Layanan dan Integrasi yang Didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengkonfigurasi Notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima File CloudTrail Log dari Beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima File CloudTrail Log dari Beberapa Akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua IAM dan AWS STS tindakan dicatat oleh CloudTrail dan didokumentasikan dalam [Referensi API IAM dan Referensi AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html) [API](https://docs.aws.amazon.com/STS/latest/APIReference/API_Operations.html).
## Pencatatan permintaan IAM dan AWS STS API
CloudTrail mencatat semua permintaan API yang diautentikasi ke operasi IAM dan AWS STS API. CloudTrail juga mencatat permintaan yang tidak diautentikasi ke AWS STS tindakan, `AssumeRoleWithSAML` dan`AssumeRoleWithWebIdentity`, dan mencatat informasi yang diberikan oleh penyedia identitas. Namun, beberapa AWS STS permintaan yang tidak diautentikasi mungkin tidak dicatat karena tidak memenuhi harapan minimum untuk cukup valid untuk dipercaya sebagai permintaan yang sah. Untuk permintaan asumsi peran lintas akun, CloudTrail tidak mencatat AWS STS permintaan yang ditolak di akun target. CloudTrail
Anda dapat menggunakan informasi yang dicatat untuk memetakan panggilan yang dilakukan oleh prinsipal federasi OIDC atau SAMP dengan peran yang diasumsikan kembali ke pemanggil federasi eksternal yang berasal. Dalam hal ini`AssumeRole`, Anda dapat memetakan panggilan kembali ke AWS layanan asal atau ke akun pengguna asal. `userIdentity`Bagian data JSON dalam entri CloudTrail log berisi informasi yang Anda butuhkan untuk memetakan AssumeRole\$1 permintaan dengan prinsipal sesi tertentu. Untuk informasi selengkapnya, lihat [Elemen CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) di *AWS CloudTrail Panduan Pengguna*.
AWS CloudTrail log akan berisi informasi MFA ketika pengguna IAM masuk dengan MFA. Jika pengguna IAM mengasumsikan peran IAM, juga CloudTrail akan `mfaAuthenticated: true` masuk `sessionContext` atribut untuk tindakan yang dilakukan menggunakan peran yang diasumsikan. Namun, CloudTrail logging terpisah dari yang dibutuhkan IAM saat panggilan API dilakukan dengan kredenal peran yang diasumsikan. Untuk informasi selengkapnya, lihat Elemen [CloudTrailUserIdentity](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
Misalnya, panggilan ke IAM`CreateUser`,, `DeleteRole``ListGroups`, dan operasi API lainnya semuanya dicatat oleh CloudTrail.
Contoh untuk jenis entri log ini akan disampaikan nanti dalam topik ini.
## Logging permintaan API ke AWS layanan lain
Permintaan yang diautentikasi ke operasi API AWS layanan lainnya dicatat oleh CloudTrail, dan entri log ini berisi informasi tentang siapa yang membuat permintaan tersebut.
Misalnya, anggap bahwa Anda mengajukan permintaan untuk mendaftar instans Amazon EC2 atau membuat grup penyebaran AWS CodeDeploy . Perincian tentang orang atau layanan yang mengajukan permintaan tersebut terdapat di entri log untuk permintaan tersebut. Informasi ini membantu Anda menentukan apakah permintaan dibuat oleh Pengguna root akun AWS, pengguna IAM, peran, atau AWS layanan lain.
*Untuk detail selengkapnya tentang informasi identitas pengguna di entri CloudTrail log, lihat Elemen [UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/event_reference_user_identity.html) di AWS CloudTrail Panduan Pengguna.*
## Mencatat peristiwa masuk pengguna
CloudTrail mencatat peristiwa masuk ke Konsol Manajemen AWS, alat pengembangan lokal seperti AWS CLI dan SDKs, forum AWS diskusi, dan AWS Marketplace. CloudTrailmencatat upaya masuk yang berhasil dan gagal untuk pengguna IAM, prinsip federasi SAMP dan OIDC, dan prinsip pengguna federasi. AWS STS
*Untuk melihat contoh CloudTrail peristiwa untuk login pengguna root yang berhasil dan tidak berhasil, lihat [Contoh catatan peristiwa untuk pengguna root di Panduan Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html#cloudtrail-event-reference-aws-console-sign-in-events-root).AWS CloudTrail *
Sebagai praktik keamanan terbaik, AWS tidak mencatat teks nama pengguna IAM yang dimasukkan saat kegagalan masuk disebabkan oleh nama *pengguna yang salah*. Teks nama pengguna ditutupi oleh nilai `HIDDEN_DUE_TO_SECURITY_REASONS`. Untuk contoh ini, lihat [Contoh peristiwa gagal masuk yang disebabkan oleh nama pengguna yang salah](#hiddensecurity), nanti dalam topik ini. Teks nama pengguna disamarkan karena kegagalan tersebut mungkin disebabkan oleh kesalahan pengguna. Pembuatan catatan kesalahan ini dapat memaparkan informasi yang berpotensi sensitif. Sebagai contoh:
+ Anda secara tidak sengaja memasukkan kata sandi anda di kotak nama pengguna.
+ Anda memilih tautan untuk halaman masuk salah satunya Akun AWS, tetapi kemudian ketik nomor akun untuk yang berbeda Akun AWS.
+ Anda lupa akun mana yang sedang Anda masuki dan secara tidak sengaja mengetikkan nama akun dari akun email pribadi Anda, pengenal masuk bank Anda, atau beberapa ID pribadi lainnya.
## Mencatat peristiwa masuk untuk kredensial sementara
Ketika seorang pelaku utama meminta kredensial sementara, jenis utama menentukan bagaimana CloudTrail mencatat peristiwa. Ini bisa jadi rumit ketika pelaku utama mengambil peran dalam akun lain. Terdapat beberapa panggilan API untuk melakukan operasi terkait operasi lintas akun peran. Pertama, prinsipal memanggil AWS STS API untuk mengambil kredensil sementara. Operasi itu masuk ke akun panggilan dan akun tempat AWS STS operasi dilakukan. Kemudian pelaku utama menggunakan peran tersebut untuk melakukan panggilan API lainnya dalam akun peran yang diasumsikan.
Anda dapat menggunakan kunci syarat `sts:SourceIdentity` dalam peran kebijakan kepercayaan untuk mengharuskan pengguna menentukan nama sesi saat mereka mengasumsikan sebuah peran. Misalnya, Anda dapat meminta agar pengguna IAM menentukan nama pengguna mereka sendiri sebagai identitas sumber mereka. Ini dapat membantu Anda menentukan pengguna mana yang melakukan tindakan tertentu di AWS. Untuk informasi selengkapnya, lihat [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity). Anda dapat menggunakan [`sts:RoleSessionName`](reference_policies_iam-condition-keys.md#ck_rolesessionname) untuk mengharuskan pengguna menentukan nama sesi saat mereka mengasumsikan sebuah peran. Ini dapat membantu Anda membedakan antara sesi peran untuk peran yang digunakan oleh kepala sekolah yang berbeda saat Anda meninjau log. AWS CloudTrail
Tabel berikut menunjukkan bagaimana CloudTrail log informasi identitas pengguna yang berbeda untuk masing-masing AWS STS APIs yang menghasilkan kredensi sementara.
****
| Tipe utama | API STS | Identitas pengguna di CloudTrail log untuk akun penelepon | Identitas pengguna di CloudTrail log untuk akun peran yang diasumsikan | Identitas pengguna dalam CloudTrail log untuk panggilan API peran berikutnya |
| --- | --- | --- | --- | --- |
| Pengguna root akun AWS kredensialnya | GetSessionToken | Identitas pengguna root | Akun pemilik peran sama dengan akun panggilan | Identitas pengguna root |
| Pengguna root akun AWS kredensialnya | AssumeRoot | Sesi pengguna root | Nomor rekening dan ID utama (jika pengguna) | Sesi pengguna root |
| Pengguna IAM | GetSessionToken | Identitas pengguna IAM | Akun pemilik peran sama dengan akun panggilan | Identitas pengguna IAM |
| Pengguna IAM | GetFederationToken | Identitas pengguna IAM | Akun pemilik peran sama dengan akun panggilan | Identitas pengguna IAM |
| Pengguna IAM | AssumeRole | Identitas pengguna IAM | Nomor rekening dan ID utama (jika pengguna), atau kepala AWS layanan | Khusus identitas peran (tanpa pengguna) |
| Pengguna yang diautentikasi secara eksternal | AssumeRoleWithSAM | tidak ada | Identitas pengguna SAML | Khusus identitas peran (tanpa pengguna) |
| Pengguna yang diautentikasi secara eksternal | AssumeRoleWithWebIdentity | tidak ada | Identitas pengguna OIDC/Web | Khusus identitas peran (tanpa pengguna) |
CloudTrail menganggap tindakan hanya-baca jika tidak memiliki efek mutasi pada sumber daya. Saat mencatat peristiwa hanya-baca, CloudTrail menyunting `responseElements` informasi di log. Saat CloudTrail mencatat peristiwa yang tidak hanya-baca, lengkap `responseElements` ditampilkan di entri log. Untuk AWS STS APIs `AssumeRole`,`AssumeRoleWithSAML`, dan`AssumeRoleWithWebIdentity`, meskipun mereka dicatat sebagai hanya-baca, CloudTrail akan menyertakan lengkap `responseElements` kecuali `secretAccessKey` dalam log untuk ini. APIs
Tabel berikut menunjukkan bagaimana CloudTrail log `responseElements` dan `readOnly` informasi untuk masing-masing AWS STS APIs yang menghasilkan kredensi sementara.
****
| API STS | Informasi elemen respons | Hanya baca |
| --- | --- | --- |
| AssumeRole | Termasuk | true |
| AssumeRoleWithSAM | Termasuk | true |
| AssumeRoleWithWebIdentity | Termasuk | true |
| AssumeRoot | Termasuk | false |
| GetFederationToken | Termasuk | false |
| GetSessionToken | Termasuk | false |
## Contoh peristiwa API IAM di log CloudTrail
CloudTrail file log berisi peristiwa yang diformat menggunakan JSON. Sebuah peristiwa API mewakili satu permintaan API dan mencakup informasi tentang prinsipal, tindakan yang diminta, parameter apapun, dan tanggal dan waktu tindakan.
### Contoh peristiwa API IAM dalam file CloudTrail log
Contoh berikut menunjukkan entri CloudTrail log untuk permintaan yang dibuat untuk `GetUserPolicy` tindakan IAM.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.16.96 Python/2.7.8 Linux/10 botocore/1.12.86",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePoliccyName"
},
"responseElements": null,
"requestID": "9EXAMPLE-0c68-11e4-a24e-d5e16EXAMPLE",
"eventID": "cEXAMPLE-127e-4632-980d-505a4EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "iam.amazonaws.com"
}
}
```
Dari informasi peristiwa ini, Anda dapat menentukan bahwa permintaan dibuat untuk mendapatkan kebijakan pengguna bernama `ReadOnlyAccess-JaneDoe-201407151307` untuk pengguna `JaneDoe`, sebagaimana ditentukan dalam elemen `requestParameters`. Anda juga dapat melihat bahwa permintaan tersebut dibuat oleh pengguna IAM bernama `JaneDoe` pada tanggal 15 Juli 2014 pada pukul 21.40 (UTC). Dalam hal ini, permintaan berasal dari Konsol Manajemen AWS, seperti yang Anda tahu dari `userAgent` elemen.
## Contoh peristiwa AWS STS API di CloudTrail log
CloudTrail file log berisi peristiwa yang diformat menggunakan JSON. Sebuah peristiwa API mewakili satu permintaan API dan mencakup informasi tentang prinsipal, tindakan yang diminta, parameter apapun, dan tanggal dan waktu tindakan.
### Contoh peristiwa AWS STS API lintas akun dalam file CloudTrail log
Pengguna IAM yang disebutkan `John` di akun 777788889999 memanggil AWS STS [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)tindakan untuk mengambil peran dalam akun 111122223333. `EC2-dev` Administrator akun mengharuskan pengguna untuk menetapkan identitas sumber yang sama dengan nama pengguna mereka ketika mengambil peran. Pengguna melewati nilai identitas sumber `John`.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAQRSTUVWXYZEXAMPLE",
"arn": "arn:aws:iam::777788889999:user/John",
"accountId": "777788889999",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "John"
},
"eventTime": "2014-07-18T15:07:39Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/EC2-dev",
"roleSessionName": "John-EC2-dev",
"sourceIdentity": "John",
"serialNumber": "arn:aws:iam::777788889999:mfa"
},
"responseElements": {
"credentials": {
"sessionToken": "",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Jul 18, 2023, 4:07:39 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AIDAQRSTUVWXYZEXAMPLE:John-EC2-dev",
"arn": "arn:aws:sts::111122223333:assumed-role/EC2-dev/John-EC2-dev"
},
"sourceIdentity": "John"
},
"resources": [
{
"ARN": "arn:aws:iam::111122223333:role/EC2-dev",
"accountId": "111122223333",
"type": "AWS::IAM::Role"
}
],
"requestID": "4EXAMPLE-0e8d-11e4-96e4-e55c0EXAMPLE",
"sharedEventID": "bEXAMPLE-efea-4a70-b951-19a88EXAMPLE",
"eventID": "dEXAMPLE-ac7f-466c-a608-4ac8dEXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Contoh kedua menunjukkan entri CloudTrail log akun peran yang diasumsikan (111122223333) untuk permintaan yang sama.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AIDAQRSTUVWXYZEXAMPLE",
"accountId": "777788889999"
},
"eventTime": "2014-07-18T15:07:39Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/EC2-dev",
"roleSessionName": "John-EC2-dev",
"sourceIdentity": "John",
"serialNumber": "arn:aws:iam::777788889999:mfa"
},
"responseElements": {
"credentials": {
"sessionToken": "",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Jul 18, 2014, 4:07:39 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AIDAQRSTUVWXYZEXAMPLE:John-EC2-dev",
"arn": "arn:aws:sts::111122223333:assumed-role/EC2-dev/John-EC2-dev"
},
"sourceIdentity": "John"
},
"requestID": "4EXAMPLE-0e8d-11e4-96e4-e55c0EXAMPLE",
"sharedEventID": "bEXAMPLE-efea-4a70-b951-19a88EXAMPLE",
"eventID": "dEXAMPLE-ac7f-466c-a608-4ac8dEXAMPLE"
}
```
### Contoh peristiwa API rantai AWS STS peran dalam file CloudTrail log
Contoh berikut menunjukkan entri CloudTrail log untuk permintaan yang dibuat oleh John Doe di akun 111111111111. John sebelumnya menggunakan pengguna `John` untuk mengambil peran `JohnRole1`. Untuk permintaan ini, dia menggunakan kredensial dari peran tersebut untuk mengambil peran `JohnRole2`. Ini dikenal sebagai [perangkaian peran](id_roles.md#iam-term-role-chaining). Identitas sumber yang ia tetapkan ketika ia diasumsikan peran `John1` tetap ada dalam permintaan untuk mengasumsikan `JohnRole2`. Jika John mencoba untuk menetapkan identitas sumber yang berbeda ketika mengambil peran, permintaan ditolak. John memberikan dua [tanda sesi](id_session-tags.md) ke dalam permintaan. Dia menetapkan kedua tanda itu sebagai transitif. Permintaan mewarisi tanda `Department` sebagai transitif karena John mengaturnya sebagai transitif ketika ia mengasumsikan `JohnRole1`. Untuk informasi lebih lanjut tentang identitas sumber, lihat [Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan](id_credentials_temp_control-access_monitor.md). Untuk informasi lebih lanjut tentang kunci transitif dalam rantai peran, lihat [Merangkai peran dengan tag sesi](id_session-tags.md#id_session-tags_role-chaining).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIN5ATK5U7KEXAMPLE:JohnRole1",
"arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1",
"accountId": "111111111111",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-10-02T21:50:54Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIN5ATK5U7KEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/JohnRole1",
"accountId": "111111111111",
"userName": "John"
},
"sourceIdentity": "John"
}
},
"eventTime": "2019-10-02T22:12:29Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "123.145.67.89",
"userAgent": "aws-cli/1.16.248 Python/3.4.7 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 botocore/1.12.239",
"requestParameters": {
"incomingTransitiveTags": {
"Department": "Engineering"
},
"tags": [
{
"value": "johndoe@example.com",
"key": "Email"
},
{
"value": "12345",
"key": "CostCenter"
}
],
"roleArn": "arn:aws:iam::111111111111:role/JohnRole2",
"roleSessionName": "Role2WithTags",
"sourceIdentity": "John",
"transitiveTagKeys": [
"Email",
"CostCenter"
],
"durationSeconds": 3600
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Oct 2, 2019, 11:12:29 PM",
"sessionToken": "AgoJb3JpZ2luX2VjEB4aCXVzLXdlc3QtMSJHMEXAMPLETOKEN+//rJb8Lo30mFc5MlhFCEbubZvEj0wHB/mDMwIgSEe9gk/Zjr09tZV7F1HDTMhmEXAMPLETOKEN/iEJ/rkqngII9///////////ARABGgw0MjgzMDc4NjM5NjYiDLZjZFKwP4qxQG5sFCryASO4UPz5qE97wPPH1eLMvs7CgSDBSWfonmRTCfokm2FN1+hWUdQQH6adjbbrVLFL8c3jSsBhQ383AvxpwK5YRuDE1AI/+C+WKFZb701eiv9J5La2EXAMPLETOKEN/c7S5Iro1WUJ0q3Cxuo/8HUoSxVhQHM7zF7mWWLhXLEQ52ivL+F6q5dpXu4aTFedpMfnJa8JtkWwG9x1Axj0Ypy2ok8v5unpQGWych1vwdvj6ez1Dm8Xg1+qIzXILiEXAMPLETOKEN/vQGqu8H+nxp3kabcrtOvTFTvxX6vsc8OGwUfHhzAfYGEXAMPLETOKEN/L6v1yMM3B1OwFOrQBno1HEjf1oNI8RnQiMNFdUOtwYj7HUZIOCZmjfN8PPHq77N7GJl9lzvIZKQA0Owcjg+mc78zHCj8y0siY8C96paEXAMPLETOKEN/E3cpksxWdgs91HRzJWScjN2+r2LTGjYhyPqcmFzzo2mCE7mBNEXAMPLETOKEN/oJy+2o83YNW5tOiDmczgDzJZ4UKR84yGYOMfSnF4XcEJrDgAJ3OJFwmTcTQICAlSwLEXAMPLETOKEN"
},
"assumedRoleUser": {
"assumedRoleId": "AROAIFR7WHDTSOYQYHFUE:Role2WithTags",
"arn": "arn:aws:sts::111111111111:assumed-role/test-role/Role2WithTags"
},
"sourceIdentity": "John"
},
"requestID": "b96b0e4e-e561-11e9-8b3f-7b396EXAMPLE",
"eventID": "1917948f-3042-46ec-98e2-62865EXAMPLE",
"resources": [
{
"ARN": "arn:aws:iam::111111111111:role/JohnRole2",
"accountId": "111111111111",
"type": "AWS::IAM::Role"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Contoh acara AWS STS API AWS layanan dalam file CloudTrail log
Contoh berikut menunjukkan entri CloudTrail log untuk permintaan yang dibuat oleh AWS layanan yang memanggil API layanan lain menggunakan izin dari peran layanan. Ini menunjukkan entri CloudTrail log untuk permintaan yang dibuat di akun 777788889999.
```
{
"eventVersion": "1.04",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAQRSTUVWXYZEXAMPLE:devdsk",
"arn": "arn:aws:sts::777788889999:assumed-role/AssumeNothing/devdsk",
"accountId": "777788889999",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2016-11-14T17:25:26Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAQRSTUVWXYZEXAMPLE",
"arn": "arn:aws:iam::777788889999:role/AssumeNothing",
"accountId": "777788889999",
"userName": "AssumeNothing"
}
}
},
"eventTime": "2016-11-14T17:25:45Z",
"eventSource": "s3.amazonaws.com",
"eventName": "DeleteBucket",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "[aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67]",
"requestParameters": {
"bucketName": "amzn-s3-demo-bucket"
},
"responseElements": null,
"requestID": "EXAMPLE463D56D4C",
"eventID": "dEXAMPLE-265a-41e0-9352-4401bEXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "777788889999"
}
```
### Contoh peristiwa AWS STS SAMM API dalam file CloudTrail log
Contoh berikut menunjukkan entri CloudTrail log untuk permintaan yang dibuat untuk tindakan AWS STS [AssumeRoleWithSAMP](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html). Permintaan tersebut mencakup atribut SAML `CostCenter` dan `Project` yang diberikan melalui pernyataan SAML sebagai [tanda sesi](id_session-tags.md). Tanda itu diatur sebagai transitif sehingga mereka [bertahan dalam skenario perangkaian peran](id_session-tags.md#id_session-tags_role-chaining). Permintaan menyertakan parameter API opsional`DurationSeconds`, direpresentasikan seperti `durationSeconds` dalam CloudTrail log, dan disetel ke `1800` detik. Permintaan ini juga mencakup atribut SAMP`sourceIdentity`, yang diteruskan dalam pernyataan SAMP. Jika seseorang menggunakan kredensial sesi peran yang dihasilkan untuk mengambil peran lain, identitas sumber ini tetap ada.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "SAMLUser",
"principalId": "SampleUkh1i4+ExamplexL/jEvs=:SamlExample",
"userName": "SamlExample",
"identityProvider": "bdGOnTesti4+ExamplexL/jEvs="
},
"eventTime": "2023-08-28T18:30:58Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRoleWithSAML",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "aws-internal/3 aws-sdk-java/1.12.479 Linux/5.10.186-157.751.amzn2int.x86_64 OpenJDK_64-Bit_Server_VM/17.0.7+11 java/17.0.7 kotlin/1.3.72 vendor/Amazon.com_Inc. cfg/retry-mode/standard",
"requestParameters": {
"sAMLAssertionID": "_c0046cEXAMPLEb9d4b8eEXAMPLE2619aEXAMPLE",
"roleSessionName": "MyAssignedRoleSessionName",
"sourceIdentity": "MySAMLUser",
"principalTags": {
"CostCenter": "987654",
"Project": "Unicorn",
"Department": "Engineering"
},
"transitiveTagKeys": [
"CostCenter",
"Project"
],
"roleArn": "arn:aws:iam::444455556666:role/SAMLTestRoleShibboleth",
"principalArn": "arn:aws:iam::444455556666:saml-provider/Shibboleth",
"durationSeconds": 1800
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Aug 28, 2023, 7:00:58 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROAD35QRSTUVWEXAMPLE:MyAssignedRoleSessionName",
"arn": "arn:aws:sts::444455556666:assumed-role/SAMLTestRoleShibboleth/MyAssignedRoleSessionName"
},
"packedPolicySize": 1,
"subject": "SamlExample",
"subjectType": "transient",
"issuer": "https://server.example.com/idp/shibboleth",
"audience": "https://signin.aws.amazon.com/saml",
"nameQualifier": "bdGOnTesti4+ExamplexL/jEvs=",
"sourceIdentity": "MySAMLUser"
},
"requestID": "6EXAMPLE-e595-11e5-b2c7-c974fEXAMPLE",
"eventID": "dEXAMPLE-265a-41e0-9352-4401bEXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "444455556666",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::444455556666:role/SAMLTestRoleShibboleth"
},
{
"accountId": "444455556666",
"type": "AWS::IAM::SAMLProvider",
"ARN": "arn:aws:iam::444455556666:saml-provider/test-saml-provider"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "444455556666",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "sts.us-east-2.amazonaws.com"
}
}
```
### Contoh peristiwa AWS STS API OIDC dalam file log CloudTrail
Contoh berikut menunjukkan entri CloudTrail log untuk permintaan yang dibuat untuk AWS STS [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)tindakan tersebut. [Permintaan menyertakan atribut `CostCenter` dan `Project` yang diteruskan melalui token penyedia identitas (IDP) OpenID Connect (OIDC) sebagai tag sesi.](id_session-tags.md) Tanda itu diatur sebagai transitif sehingga mereka [bertahan dalam perangkaian peran](id_session-tags.md#id_session-tags_role-chaining). Permintaan tersebut mencakup atribut `sourceIdentity` dari token penyedia identitas. Jika seseorang menggunakan kredensial sesi peran yang dihasilkan untuk mengambil peran lain, identitas sumber ini tetap ada.
Entri CloudTrail log juga berisi `additionalEventData` bidang dengan `identityProviderConnectionVerificationMethod` atribut. Atribut ini menunjukkan metode yang AWS digunakan untuk memverifikasi koneksi dengan penyedia OIDC. Nilai atribut akan menjadi salah satu `IAMTrustStore` atau`Thumbprint`. `IAMTrustStore`Nilai menunjukkan bahwa AWS berhasil memverifikasi koneksi dengan IDP OIDC menggunakan pustaka otoritas sertifikat root tepercaya kami (). CAs `Thumbprint`Nilai menunjukkan bahwa AWS menggunakan cap jempol sertifikat yang ditetapkan dalam konfigurasi iDP untuk memverifikasi sertifikat server OIDC iDP.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "WebIdentityUser",
"principalId": "arn:aws:iam::444455556666:oidc-provider/::",
"userName": "",
"identityProvider": "arn:aws:iam::444455556666:oidc-provider/"
},
"eventTime": "2024-07-09T15:41:37Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRoleWithWebIdentity",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/2.13.29 Python/3.11.6 Windows/10 exe/AMD64 prompt/off command/sts.assume-role-with-web-identity",
"requestParameters": {
"roleArn": "arn:aws:iam::444455556666:role/FederatedWebIdentityRole",
"roleSessionName": "",
"sourceIdentity": "MyWebIdentityUser",
"durationSeconds": 3600,
"principalTags": {
"CostCenter": "24680",
"Project": "Pegasus"
},
"transitiveTagKeys": [
"CostCenter",
"Project"
]
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Jul 9, 2024, 4:41:37 PM"
},
"subjectFromWebIdentityToken": "",
"sourceIdentity": "MyWebIdentityUser",
"assumedRoleUser": {
"assumedRoleId": "AROA123456789EXAMPLE:",
"arn": "arn:aws:sts::444455556666:assumed-role/FederatedWebIdentityRole/"
},
"provider": "arn:aws:iam::444455556666:oidc-provider/",
"audience": ""
},
"additionalEventData": {
"identityProviderConnectionVerificationMethod": "IAMTrustStore"
},
"requestID": "aEXAMPLE-0b26-40df-8973-c7012EXAMPLE",
"eventID": "aEXAMPLE-ee29-4ac0-a0ed-3f5c5EXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "444455556666",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::444455556666:role/FederatedWebIdentityRole"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "444455556666",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts.us-east-2.amazonaws.com"
}
}
```
### Contoh peristiwa AWS STS API menggunakan titik akhir global dalam file CloudTrail log
Untuk permintaan ke AWS Security Token Service (AWS STS) titik akhir global (`https://sts.amazonaws.com`), AWS STS sertakan bidang AWS CloudTrail log tambahan: `endpointType` dan`awsServingRegion`. Bidang ini muncul di bawah `addtionalEventData` `RequestDetails` elemen untuk mencatat jenis servis Wilayah AWS dan titik akhir yang dipanggil. `endpointType`Bidang dapat memiliki nilai `global` atau `regional` untuk menunjukkan jenis titik akhir global yang melayani permintaan. Untuk informasi selengkapnya tentang perubahan titik akhir AWS STS global, lihat[AWS STS Wilayah dan titik akhir](id_credentials_temp_region-endpoints.md).
**catatan**
AWS CloudTrail log untuk permintaan yang dibuat ke titik akhir AWS STS global akan dikirim ke Wilayah AS Timur (Virginia N.). CloudTrail log untuk permintaan yang dilayani oleh titik akhir AWS STS Regional akan terus dicatat ke Wilayah masing-masing di CloudTrail.
Contoh berikut menunjukkan entri CloudTrail log untuk AWS STS permintaan yang dibuat ke titik akhir global (`https://sts.amazonaws.com`) yang berasal dari Wilayah Eropa (Stockholm) - eu-north-1. Nilai `endpointType` bidang `global` menunjukkan bahwa AWS STS permintaan dilayani oleh titik akhir global di Wilayah Eropa (Stockholm).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:developer",
"arn": "arn:aws:sts::777788889999:assumed-role/Admin/developer",
"accountId": "777788889999",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::777788889999:role/Admin",
"accountId": "777788889999",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2025-02-12T21:44:28Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-02-12T22:16:48Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.15.33 Python/3.11.8 Linux/5.10.233-204.894.amzn2int.x86_64 exe/x86_64.amzn.2 prompt/off command/sts.assume-role",
"requestParameters": {
"roleArn": "arn:aws:iam::777788889999:role/test-role",
"roleSessionName": "test-global-assume-role"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Feb 12, 2025, 11:16:48 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROA987654321EXAMPLE:test-global-assume-role",
"arn": "arn:aws:sts::777788889999:assumed-role/test-role/test-global-assume-role"
}
},
"additionalEventData": {
"RequestDetails": {
"awsServingRegion": "eu-north-1",
"endpointType": "global"
}
},
"requestID": "EXAMPLE7-2497-457a-9586-f21feEXAMPLE",
"eventID": "EXAMPLEc-3d26-4c3a-9c94-722a9EXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "777788889999",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::777788889999:role/test-role"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "777788889999",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts-global.eu-north-1.amazonaws.com"
}
}
```
Sebagai perbandingan, contoh berikut menunjukkan entri CloudTrail log untuk AWS STS permintaan yang dibuat ke titik akhir Regional (`https://sts.us-west-2.amazonaws.com`) yang dilayani oleh titik akhir Regional di Wilayah Eropa (Stockholm) - eu-north-1. Nilai `endpointType` bidang `regional` menunjukkan bahwa AWS STS permintaan dilayani oleh titik akhir global di Wilayah Eropa (Stockholm).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:developer",
"arn": "arn:aws:sts::777788889999:assumed-role/Admin/developer",
"accountId": "777788889999",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::777788889999:role/Admin",
"accountId": "777788889999",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2025-02-12T21:44:28Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-02-12T22:16:30Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "eu-north-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.15.33 Python/3.11.8 Linux/5.10.233-204.894.amzn2int.x86_64 exe/x86_64.amzn.2 prompt/off command/sts.assume-role",
"requestParameters": {
"roleArn": "arn:aws:iam::777788889999:role/test-role",
"roleSessionName": "test-global-assume-role"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Feb 12, 2025, 11:16:30 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROA987654321EXAMPLE:test-global-assume-role",
"arn": "arn:aws:sts::777788889999:assumed-role/test-role/test-global-assume-role"
}
},
"additionalEventData": {
"RequestDetails": {
"endpointType": "regional",
"awsServingRegion": "eu-north-1"
}
},
"requestID": "EXAMPLEd-2116-4cd7-bd72-9f72fEXAMPLE",
"eventID": "EXAMPLEd-219a-48ed-bc54-00e3cEXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "777788889999",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::777788889999:role/test-role"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "777788889999",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts.eu-north-1.amazonaws.com"
}
}
```
## Contoh peristiwa masuk di CloudTrail log
CloudTrail file log berisi peristiwa yang diformat menggunakan JSON. Peristiwa masuk mewakili permintaan masuk tunggal dan mencakup informasi tentang penanggung jawab masuk, Wilayah, serta tanggal dan waktu tindakan.
### Contoh peristiwa sukses masuk dalam file CloudTrail log
Contoh berikut menunjukkan entri CloudTrail log untuk acara login yang berhasil.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::111122223333:user/John",
"accountId": "111122223333",
"userName": "John"
},
"eventTime": "2014-07-16T15:49:27Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.110",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"MobileVersion": "No",
"LoginTo": "[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)",
"MFAUsed": "No"
},
"eventID": "3fcfb182-98f8-4744-bd45-10a395ab61cb"
}
```
Contoh berikut menunjukkan entri CloudTrail log untuk permintaan kode otorisasi yang berhasil.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROATJHQDX737YZP72NTF:thesjain-Isengard",
"arn": "arn:aws:sts::225989345271:assumed-role/Admin/thesjain-Isengard",
"accountId": "225989345271",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROATJHQDX737YZP72NTF",
"arn": "arn:aws:iam::225989345271:role/Admin",
"accountId": "225989345271",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-11-17T22:50:14Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-17T22:51:32Z",
"eventSource": "signin.amazonaws.com",
"eventName": "AuthorizeOAuth2Access",
"awsRegion": "us-east-1",
"sourceIPAddress": "52.94.133.136",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
"requestParameters": {
"scope": "openid",
"redirect_uri": "http://127.0.0.1:53037/oauth/callback",
"code_challenge_method": "SHA-256",
"client_id": "arn:aws:signin:::devtools/same-device"
},
"responseElements": null,
"additionalEventData": {
"success": "true",
"x-amzn-vpce-id": ""
},
"requestID": "e2854c76-1cba-4360-9fd1-5037b591466b",
"eventID": "59e1720d-3deb-44ff-933d-6828be2a860a",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "225989345271",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
Contoh berikut menunjukkan entri CloudTrail log untuk permintaan pembuatan OAuth2 token yang berhasil.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROATJHQDX737YZP72NTF:jacobjoj-Isengard",
"arn": "arn:aws:sts::225989345271:assumed-role/Admin/jacobjoj-Isengard",
"accountId": "225989345271",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROATJHQDX737YZP72NTF",
"arn": "arn:aws:iam::225989345271:role/Admin",
"accountId": "225989345271",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-11-18T20:38:10Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-18T20:38:44Z",
"eventSource": "signin.amazonaws.com",
"eventName": "CreateOAuth2Token",
"awsRegion": "us-east-1",
"sourceIPAddress": "15.248.6.6",
"userAgent": "aws-cli/2.32.0 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,AA,Z,E cfg/retry-mode#standard md/installer#exe sid/35033f4ca1bd md/prompt#off md/command#login",
"requestParameters": {
"client_id": "arn:aws:signin:::devtools/same-device"
},
"responseElements": null,
"additionalEventData": {
"success": "true",
"x-amzn-vpce-id": ""
},
"requestID": "94562943-c85b-4dc1-bf72-43b0fd42d6de",
"eventID": "0b338fac-6a10-4740-b34d-1bb6923e799e",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "225989345271",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
Untuk detail selengkapnya tentang informasi yang terkandung dalam file CloudTrail log, lihat [Referensi CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/eventreference.html) di *Panduan AWS CloudTrail Pengguna*.
### Contoh peristiwa kegagalan masuk dalam file CloudTrail log
Contoh berikut menunjukkan entri CloudTrail log untuk peristiwa login yang gagal.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::111122223333:user/JaneDoe",
"accountId": "111122223333",
"userName": "JaneDoe"
},
"eventTime": "2014-07-08T17:35:27Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.100",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"errorMessage": "Failed authentication",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Failure"
},
"additionalEventData": {
"MobileVersion": "No",
"LoginTo": "https://console.aws.amazon.com/sns",
"MFAUsed": "No"
},
"eventID": "11ea990b-4678-4bcd-8fbe-62509088b7cf"
}
```
Dari informasi ini, Anda dapat menentukan bahwa upaya masuk dilakukan oleh pengguna IAM bernama `JaneDoe`, seperti yang ditunjukkan pada elemen `userIdentity`. Anda juga dapat melihat bahwa upaya masuk gagal, seperti yang ditunjukkan pada elemen `responseElements`. Anda dapat melihatnya bahwa `JaneDoe` mencoba masuk ke konsol Amazon SNS pada pukul 17.35 (UTC) pada 8 Juli 2014.
### Contoh peristiwa gagal masuk yang disebabkan oleh nama pengguna yang salah
Contoh berikut menunjukkan entri CloudTrail log untuk peristiwa login yang gagal yang disebabkan oleh pengguna memasukkan nama pengguna yang salah. AWS menutupi `userName` teks dengan `HIDDEN_DUE_TO_SECURITY_REASONS` untuk membantu mencegah mengekspos informasi yang berpotensi sensitif.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"eventTime": "2015-03-31T22:20:42Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"errorMessage": "No username found in supplied account",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Failure"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true",
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "a7654656-0417-45c6-9386-ea8231385051",
"eventType": "AwsConsoleSignin",
"recipientAccountId": "123456789012"
}
```
## Perilaku kebijakan kepercayaan peran IAM
Pada 21 September 2022, AWS membuat perubahan pada perilaku kebijakan kepercayaan peran IAM untuk meminta izin eksplisit dalam kebijakan kepercayaan peran ketika suatu peran mengasumsikan dirinya sendiri. Peran IAM dalam daftar izin perilaku lama memiliki additionalEventData bidang yang ada explicitTrustGrant untuk `AssumeRole` acara. Nilai false ketika peran pada daftar izin lama mengasumsikan dirinya menggunakan perilaku lama. `explicitTrustGrant` Ketika peran pada daftar izin lama mengasumsikan dirinya sendiri tetapi perilaku kebijakan kepercayaan peran telah diperbarui untuk secara eksplisit memungkinkan peran tersebut untuk mengambil alih dirinya sendiri, nilainya benar. `explicitTrustGrant`
Hanya sejumlah kecil peran IAM yang ada di daftar izinkan untuk perilaku lama, dan bidang ini hanya ada di CloudTrail log untuk peran ini ketika mereka mengasumsikan diri mereka sendiri. Dalam kebanyakan kasus, peran IAM tidak perlu mengasumsikan dirinya sendiri. AWS merekomendasikan memperbarui proses, kode, atau konfigurasi Anda untuk menghapus perilaku ini atau memperbarui kebijakan kepercayaan peran Anda untuk secara eksplisit mengizinkan perilaku ini. Untuk informasi selengkapnya, lihat [Mengumumkan pembaruan pada perilaku kebijakan kepercayaan peran IAM](https://aws.amazon.com/blogs//security/announcing-an-update-to-iam-role-trust-policy-behavior/).