Lacak tugas istimewa di AWS CloudTrail - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lacak tugas istimewa di AWS CloudTrail

Akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM dapat melakukan beberapa tugas pengguna root pada akun anggota menggunakan akses root jangka pendek. Sesi istimewa jangka pendek memberi Anda kredensi sementara yang dapat Anda lingkup untuk mengambil tindakan istimewa pada akun anggota di organisasi Anda. Anda dapat menggunakan langkah-langkah berikut untuk mengidentifikasi tindakan yang diambil oleh akun manajemen atau administrator yang didelegasikan selama sts:AssumeRootsesi berlangsung.

catatan

Titik akhir global tidak didukung untuksts:AssumeRoot. CloudTrail mencatat ConsoleLogin peristiwa di Wilayah yang ditentukan untuk titik akhir.

Untuk melacak tindakan yang dilakukan oleh sesi istimewa di log CloudTrail

  1. Temukan AssumeRoot acara di CloudTrail log Anda. Acara ini dihasilkan ketika akun manajemen Anda atau administrator yang didelegasikan untuk IAM mendapatkan satu set kredensi jangka pendek dari. sts:AssumeRoot

    Dalam contoh berikut, CloudTrail acara untuk AssumeRoot dicatat di eventName bidang.

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1",
        "arn": "arn:aws:sts::111111111111:assumed-role/JohnDoe/JohnRole1",
        "accountId": "111111111111",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111111111111:role/JohnDoe",
                "accountId": "111111111111",
                "userName": "Admin2"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2024-10-25T20:45:28Z",
                "mfaAuthenticated": "false"
            },
            "assumedRoot": "true"
        }
    },
    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
        }
    }
}

    Untuk langkah-langkah untuk mengakses CloudTrail log Anda, lihat Mendapatkan dan melihat file CloudTrail log Anda di Panduan AWS CloudTrail Pengguna.

  2. Dalam log CloudTrail peristiwa, cari targetPrincipal yang menentukan tindakan akun anggota yang diambil, dan accessKeyId yang unik untuk AssumeRoot sesi tersebut.

    Dalam contoh berikut, targetPrincipal adalah 22222222222222 dan adalah. accessKeyId ASIAIOSFODNN7EXAMPLE

    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
    }
}

  3. Dalam CloudTrail log untuk prinsipal target, cari ID kunci akses yang sesuai dengan accessKeyId nilai dari AssumeRoot acara tersebut. Gunakan nilai eventName bidang untuk menentukan tugas istimewa yang dilakukan selama AssumeRoot sesi. Mungkin ada beberapa tugas istimewa yang dilakukan dalam satu sesi. Durasi sesi maksimum AssumeRoot adalah 900 detik (15 menit).

    Dalam contoh berikut, akun manajemen atau administrator yang didelegasikan menghapus kebijakan berbasis sumber daya untuk bucket Amazon S3.

    {
    "eventVersion": "1.10",
    "userIdentity": {
        "type": "Root",
        "principalId": "222222222222",
        "arn": "arn:aws:iam::222222222222:root",
        "accountId": "222222222222",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2024-10-25T20:52:11Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-10-25T20:53:47Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "DeleteBucketPolicy",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",
    "requestParameters": {
        "bucketName": "resource-policy-JohnDoe",
        "Host": "resource-policy-JohnDoe.s3.amazonaws.com",
        "policy": ""
    },
    "responseElements": null,
    "requestID": "1234567890abcdef0",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "readOnly": false,
    "resources": [
        {
            "accountId": "222222222222",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::resource-policy-JohnDoe"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "222222222222",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "resource-policy-JohnDoe.s3.amazonaws.com"
    }
}