Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Lacak tugas istimewa di AWS CloudTrail Akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM dapat melakukan beberapa tugas pengguna root pada akun anggota menggunakan akses root jangka pendek. Sesi istimewa jangka pendek memberi Anda kredensi sementara yang dapat Anda lingkup untuk [mengambil tindakan istimewa](id_root-user-privileged-task.md) pada akun anggota di organisasi Anda. Anda dapat menggunakan langkah-langkah berikut untuk mengidentifikasi tindakan yang diambil oleh akun manajemen atau administrator yang didelegasikan selama [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)sesi berlangsung. **catatan** Titik akhir global tidak didukung untuk`sts:AssumeRoot`. CloudTrail mencatat `ConsoleLogin` peristiwa di Wilayah yang ditentukan untuk titik akhir. **Untuk melacak tindakan yang dilakukan oleh sesi istimewa di log CloudTrail** 1. Temukan `AssumeRoot` acara di CloudTrail log Anda. Acara ini dihasilkan ketika akun manajemen Anda atau administrator yang didelegasikan untuk IAM mendapatkan satu set kredensi jangka pendek dari. `sts:AssumeRoot` Dalam contoh berikut, CloudTrail acara untuk AssumeRoot dicatat di `eventName` bidang. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1", "arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1", "accountId": "111111111111", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:role/John", "accountId": "111111111111", "userName": "Admin2" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-10-25T20:45:28Z", "mfaAuthenticated": "false" }, "assumedRoot": "true" } }, "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "222222222222", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } } ``` Untuk langkah-langkah untuk mengakses CloudTrail log Anda, lihat [Mendapatkan dan melihat file CloudTrail log Anda](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) di *Panduan AWS CloudTrail Pengguna*. 1. Dalam log CloudTrail peristiwa, cari `targetPrincipal` yang menentukan tindakan akun anggota yang diambil, dan `accessKeyId` yang unik untuk `AssumeRoot` sesi. Dalam contoh berikut, `targetPrincipal` adalah 22222222222222 dan adalah CONTOH. `accessKeyId` ASIAIOSFODNN7 ``` "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "222222222222", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } ``` 1. Dalam CloudTrail log untuk prinsipal target, cari ID kunci akses yang sesuai dengan `accessKeyId` nilai dari `AssumeRoot` acara tersebut. Gunakan nilai `eventName` bidang untuk menentukan tugas istimewa yang dilakukan selama `AssumeRoot` sesi. Mungkin ada beberapa tugas istimewa yang dilakukan dalam satu sesi. Durasi sesi maksimum `AssumeRoot` adalah 900 detik (15 menit). Dalam contoh berikut, akun manajemen atau administrator yang didelegasikan menghapus kebijakan berbasis sumber daya untuk bucket Amazon S3. ``` { "eventVersion": "1.10", "userIdentity": { "type": "Root", "principalId": "222222222222", "arn": "arn:aws:iam::222222222222:root", "accountId": "222222222222", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "creationDate": "2024-10-25T20:52:11Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-10-25T20:53:47Z", "eventSource": "s3.amazonaws.com", "eventName": "DeleteBucketPolicy", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "bucketName": "resource-policy-John", "Host": "resource-policy-John.s3.amazonaws.com", "policy": "" }, "responseElements": null, "requestID": "1234567890abcdef0", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "readOnly": false, "resources": [ { "accountId": "222222222222", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::resource-policy-John" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "222222222222", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "resource-policy-John.s3.amazonaws.com" } } ```