Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan
IAMPeran adalah objek IAM yang diberi izin. Saat Anda mengambil peran tersebut menggunakan IAM identitas atau identitas dari luar AWS, Anda menerima sesi dengan izin yang ditetapkan ke peran tersebut.
Saat Anda melakukan tindakan AWS, informasi tentang sesi Anda dapat dicatat AWS CloudTrail untuk dipantau oleh administrator akun Anda. Administrator dapat mengkonfigurasi peran untuk meminta identitas untuk melewati string kustom yang mengidentifikasi orang atau aplikasi yang melakukan tindakan di AWS. Informasi identitas ini disimpan sebagai identitas sumber di AWS CloudTrail. Saat administrator meninjau aktivitas CloudTrail, mereka dapat melihat informasi identitas sumber untuk menentukan siapa atau tindakan apa yang dilakukan dengan sesi peran yang diasumsikan.
Setelah identitas sumber ditetapkan, identitas tersebut hadir dalam permintaan untuk AWS tindakan apa pun yang diambil selama sesi peran. Nilai yang ditetapkan tetap ada ketika peran digunakan untuk mengambil peran lain melalui AWS CLI atau AWS API, yang dikenal sebagai rantai peran. Nilai yang ditetapkan tidak dapat diubah selama sesi peran. Administrator dapat mengonfigurasi izin granular berdasarkan keberadaan atau nilai identitas sumber untuk mengontrol AWS tindakan lebih lanjut yang diambil dengan peran bersama. Anda dapat memutuskan apakah atribut identitas sumber dapat digunakan, apakah itu diperlukan, dan apakah nilai dapat digunakan.
Cara Anda menggunakan identitas sumber berbeda dari nama sesi peran dan tanda sesi dalam cara yang penting. Nilai identitas sumber tidak dapat diubah setelah ditetapkan, dan tetap ada untuk tindakan tambahan yang diambil dengan sesi peran. Berikut cara menggunakan tanda sesi dan nama sesi peran:
-
Tag sesi — Anda dapat meneruskan tag sesi saat Anda mengambil peran atau menyatukan pengguna. Tanda sesi hadir ketika peran diasumsikan. Kemudian, Anda dapat menentukan kebijakan yang menggunakan kunci syarat tanda untuk memberikan izin kepada penanggung jawab Anda berdasarkan tanda mereka. Kemudian Anda dapat menggunakan CloudTrail untuk melihat permintaan yang dibuat untuk mengambil peran atau pengguna federasi. Untuk mempelajari lebih lanjut tentang tanda sesi, lihat Lulus tag sesi di AWS STS.
-
Nama sesi peran — Anda dapat menggunakan kunci
sts:RoleSessionName
kondisi dalam kebijakan kepercayaan peran untuk mengharuskan pengguna Anda memberikan nama sesi tertentu saat mereka mengambil peran. Nama sesi peran dapat digunakan untuk membedakan sesi peran ketika peran digunakan oleh penanggung jawab yang berbeda. Untuk mempelajari lebih lanjut tentang nama sesi peran, lihat sts: RoleSessionName.
Kami menyarankan Anda menggunakan identitas sumber ketika Anda ingin mengontrol identitas yang mengasumsikan peran. Identitas sumber juga berguna untuk penambangan CloudTrail log untuk menentukan siapa yang menggunakan peran untuk melakukan tindakan.
Topik
- Menyiapkan untuk menggunakan identitas sumber
- Hal yang perlu diketahui tentang identitas sumber
- Izin yang diperlukan untuk menetapkan identitas sumber
- Menentukan identitas sumber ketika mengasumsikan peran
- Menggunakan identitas sumber dengan AssumeRole
- Menggunakan identitas sumber dengan AssumeRoleWith SAML
- Menggunakan identitas sumber dengan AssumeRoleWithWebIdentity
- Mengontrol akses menggunakan informasi identitas sumber
- Melihat identitas sumber di CloudTrail
Menyiapkan untuk menggunakan identitas sumber
Cara Anda mengatur untuk menggunakan identitas sumber tergantung metode yang digunakan ketika peran Anda diasumsikan. Misalnya, IAM pengguna Anda mungkin mengambil peran secara langsung menggunakan AssumeRole
operasi. Jika Anda memiliki identitas perusahaan, juga dikenal sebagai identitas tenaga kerja, mereka dapat mengakses sumber daya Anda AWS menggunakan. AssumeRoleWithSAML
Jika pengguna akhir mengakses aplikasi seluler atau web Anda, mereka mungkin melakukannya menggunakan AssumeRoleWithWebIdentity
. Berikut ini adalah gambaran umum alur kerja tingkat tinggi untuk membantu Anda memahami bagaimana Anda dapat mengatur untuk memanfaatkan informasi identitas sumber di lingkungan yang ada.
-
Konfigurasikan pengguna dan peran pengujian — Menggunakan lingkungan praproduksi, konfigurasikan pengguna dan peran pengujian, serta konfigurasikan kebijakan mereka untuk memungkinkan pengaturan identitas sumber.
Jika Anda menggunakan penyedia identitas (IdP) untuk identitas federasi Anda, konfigurasikan IdP Anda untuk melewati atribut pengguna pilihan Anda untuk identitas sumber dalam pernyataan atau token.
-
Asumsikan peran — Uji asumsi peran dan meneruskan identitas sumber dengan pengguna dan peran yang Anda siapkan untuk pengujian.
-
Tinjauan CloudTrail — Tinjau informasi identitas sumber untuk peran pengujian Anda di CloudTrail log Anda.
-
Latih pengguna Anda — Setelah Anda menguji di lingkungan praproduksi, pastikan bahwa pengguna Anda tahu cara meneruskan informasi identitas sumber, jika perlu. Tetapkan tenggat waktu untuk kapan Anda akan meminta pengguna Anda untuk memberikan identitas sumber di lingkungan produksi Anda.
-
Konfigurasikan kebijakan produksi — Konfigurasikan kebijakan Anda untuk lingkungan produksi, lalu tambahkan ke pengguna dan peran produksi Anda.
-
Pantau aktivitas — Pantau aktivitas peran produksi Anda menggunakan CloudTrail log.
Hal yang perlu diketahui tentang identitas sumber
Ingatlah hal-hal berikut ini saat bekerja dengan identitas sumber.
-
Kebijakan kepercayaan untuk semua peran yang terhubung ke penyedia identitas (IdP) harus memiliki izin
sts:SetSourceIdentity
. Untuk peran yang tidak memiliki izin ini dalam kebijakan kepercayaan peran, operasiAssumeRole*
akan gagal. Jika Anda tidak ingin memperbarui kebijakan kepercayaan peran untuk setiap peran, Anda dapat menggunakan instans IdP terpisah untuk meneruskan identitas sumber. Lalu tambahkan izinsts:SetSourceIdentity
hanya untuk peran yang terhubung ke IdP yang terpisah. -
Ketika identitas menetapkan identitas sumber, kunci
sts:SourceIdentity
terdapat dalam permintaan. Untuk tindakan selanjutnya yang diambil selama sesi peran, kunciaws:SourceIdentity
terdapat dalam permintaan. AWS tidak mengontrol nilai identitas sumber di salah satu kuncists:SourceIdentity
atauaws:SourceIdentity
. Jika Anda memilih untuk meminta identitas sumber, Anda harus memilih atribut yang Anda inginkan pengguna atau IdP untuk menyediakan. Untuk tujuan keamanan, Anda harus memastikan bahwa Anda dapat mengontrol bagaimana nilai-nilai tersebut disediakan. -
Nilai identitas sumber harus antara 2 dan 64 karakter panjang, dapat berisi hanya karakter alfanumerik, garis bawah, dan karakter berikut:., + = @ - (tanda hubung). Anda tidak dapat menggunakan nilai yang dimulai dengan teks
aws:
. Awalan ini dicadangkan untuk penggunaan AWS internal. -
Informasi identitas sumber tidak ditangkap oleh CloudTrail ketika AWS layanan atau peran terkait layanan melakukan tindakan atas nama identitas federasi atau tenaga kerja.
penting
Anda tidak dapat beralih ke peran AWS Management Console yang memerlukan identitas sumber untuk disetel saat peran diasumsikan. Untuk mengambil peran seperti itu, Anda dapat menggunakan AWS CLI atau AWS
API untuk memanggil AssumeRole
operasi dan menentukan parameter identitas sumber.
Izin yang diperlukan untuk menetapkan identitas sumber
Selain tindakan yang cocok dengan API operasi, Anda harus memiliki tindakan khusus izin berikut dalam kebijakan Anda:
sts:SetSourceIdentity
-
Untuk menentukan identitas sumber, prinsipal (IAMpengguna dan peran) harus memiliki izin untuk.
sts:SetSourceIdentity
Sebagai administrator, Anda dapat mengonfigurasi ini dalam kebijakan kepercayaan peran dan kebijakan izin penanggung jawab. -
Ketika Anda mengambil peran dengan peran lain, disebut perangkaian peran, izin untuk
sts:SetSourceIdentity
diperlukan dalam kebijakan perizinan penanggung jawab yang mengasumsikan peran dan dalam kebijakan kepercayaan peran pada peran target. Jika tidak, peran operasi asumsi akan gagal. -
Saat menggunakan identitas sumber, kebijakan kepercayaan peran untuk semua peran yang terhubung ke IdP harus memiliki izin
sts:SetSourceIdentity
. OperasiAssumeRole*
akan gagal untuk peran apa pun yang terhubung ke IdP tanpa izin ini. Jika Anda tidak ingin memperbarui kebijakan kepercayaan peran untuk setiap peran, Anda dapat menggunakan instans IdP terpisah untuk meneruskan identitas sumber dan menambahkan izinsts:SetSourceIdentity
hanya untuk peran yang terhubung ke IdP yang terpisah. -
Untuk menetapkan identitas sumber di batas akun, Anda harus menyertakan izin
sts:SetSourceIdentity
di dua tempat. Harus berada dalam kebijakan izin penanggung jawab di akun asal dan kebijakan kepercayaan peran dalam akun target. Anda mungkin perlu melakukannya, misalnya, ketika peran digunakan untuk mengambil peran di akun lain dengan perangkaian peran.
Sebagai administrator akun, bayangkan Anda ingin mengizinkan IAM pengguna DevUser
di akun Anda untuk mengasumsikan akun yang sama. Developer_Role
Tetapi Anda ingin mengizinkan tindakan ini hanya jika pengguna telah mengatur identitas sumber ke nama IAM pengguna mereka. Anda dapat melampirkan kebijakan berikut kepada IAM pengguna.
contoh Contoh kebijakan berbasis identitas yang dilampirkan DevUser
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AssumeRole", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
123456789012
:role/Developer_Role
" }, { "Sid": "SetAwsUserNameAsSourceIdentity", "Effect": "Allow", "Action": "sts:SetSourceIdentity", "Resource": "arn:aws:iam::123456789012
:role/Developer_Role
", "Condition": { "StringLike": { "sts:SourceIdentity": "${aws:username}" } } } ] }
Untuk memberlakukan nilai identitas sumber yang dapat diterima, Anda dapat mengonfigurasi kebijakan kepercayaan peran berikut. Kebijakan ini memberikan DevUser
izin IAM pengguna untuk mengambil peran dan menetapkan identitas sumber. Kunci syarat sts:SourceIdentity
mendefinisikan nilai identitas sumber yang dapat diterima.
contoh Contoh kebijakan kepercayaan peran untuk identitas sumber
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDevUserAssumeRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789012
:user/DevUser
" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ], "Condition": { "StringEquals": { "sts:SourceIdentity": "DevUser
" } } } ] }
Menggunakan kredensil untuk IAM penggunaDevUser
, pengguna mencoba untuk mengasumsikan DeveloperRole
menggunakan permintaan berikut AWS CLI .
contoh AssumeRole CLIPermintaan contoh
aws sts assume-role \ --role-arn arn:aws:iam::123456789012:role/Developer_Role \ --role-session-name Dev-project \ --source-identity DevUser \
Saat AWS mengevaluasi permintaan, konteks permintaan berisi sts:SourceIdentity
dari. DevUser
Menentukan identitas sumber ketika mengasumsikan peran
Anda dapat menentukan identitas sumber saat menggunakan salah satu AWS STS
AssumeRole*
API operasi untuk mendapatkan kredensil keamanan sementara untuk suatu peran. APIOperasi yang Anda gunakan berbeda tergantung pada kasus penggunaan Anda. Misalnya, jika Anda menggunakan IAM peran untuk memberi IAM pengguna akses ke AWS sumber daya yang biasanya tidak dapat mereka akses, Anda dapat menggunakan AssumeRole
operasi tersebut. Jika Anda menggunakan federasi identitas perusahaan untuk mengelola pengguna tenaga kerja Anda, Anda dapat menggunakan operasi AssumeRoleWithSAML
. Jika Anda menggunakan OIDC federasi untuk mengizinkan pengguna akhir mengakses aplikasi seluler atau web Anda, Anda dapat menggunakan AssumeRoleWithWebIdentity
operasi tersebut. Bagian berikut menjelaskan cara menggunakan identitas sumber dengan setiap operasi. Untuk mempelajari selengkapnya tentang skenario umum untuk kredensial sementara, lihat Skenario umum untuk kredensial sementara.
Menggunakan identitas sumber dengan AssumeRole
AssumeRole
Operasi mengembalikan satu set kredensi sementara yang dapat Anda gunakan untuk mengakses AWS sumber daya. Anda dapat menggunakan kredensi IAM pengguna atau peran untuk menelepon. AssumeRole
Untuk meneruskan identitas sumber sambil mengambil peran, gunakan -–source-identity
AWS CLI opsi atau SourceIdentity
AWS
API parameter. Contoh berikut menunjukkan cara menentukan identitas sumber menggunakan AWS CLI.
contoh AssumeRole CLIPermintaan contoh
aws sts assume-role \ --role-arn arn:aws:iam::123456789012:role/developer \ --role-session-name Audit \ --source-identity Admin \
Menggunakan identitas sumber dengan AssumeRoleWith SAML
Kepala sekolah yang memanggil AssumeRoleWithSAML
operasi diautentikasi menggunakan federasi SAML berbasis. Operasi ini mengembalikan satu set kredensi sementara yang dapat Anda gunakan untuk mengakses AWS sumber daya. Untuk informasi selengkapnya tentang penggunaan federasi SAML berbasis untuk AWS Management Console akses, lihatMengaktifkan pengguna federasi SAMP 2.0 untuk mengakses AWS Management Console. Untuk detail tentang AWS CLI atau AWS API akses, lihatSAML2.0 federasi. Untuk tutorial menyiapkan SAML federasi untuk pengguna Active Directory Anda, lihat AWS Otentikasi Federasi dengan Layanan Federasi Direktori Aktif (ADFS)
Sebagai administrator, Anda dapat mengizinkan anggota direktori perusahaan Anda untuk bergabung AWS menggunakan AWS STS AssumeRoleWithSAML
operasi. Untuk melakukannya, Anda harus menyelesaikan tugas berikut:
Untuk menetapkan SAML atribut untuk identitas sumber, sertakan Attribute
elemen dengan Name
atribut yang disetel kehttps://aws.amazon.com/SAML/Attributes/SourceIdentity
. Gunakan elemen AttributeValue
untuk menentukan nilai identitas sumber. Misalnya, anggap Anda ingin meneruskan atribut identitas berikut sebagai identitas sumber.
SourceIdentity:DiegoRamirez
Untuk meneruskan atribut ini, sertakan elemen berikut dalam SAML pernyataan Anda.
contoh Contoh cuplikan pernyataan SAML
<Attribute Name="https://aws.amazon.com/SAML/Attributes/SourceIdentity"> <AttributeValue>DiegoRamirez</AttributeValue> </Attribute>
Menggunakan identitas sumber dengan AssumeRoleWithWebIdentity
Pemanggilan utama AssumeRoleWithWebIdentity
operasi diautentikasi menggunakan federasi yang sesuai dengan OpenID OIDC Connect (). Operasi ini menghasilkan serangkaian kredensial sementara yang dapat Anda gunakan untuk mengakses sumber daya AWS
. Untuk informasi selengkapnya tentang penggunaan OIDC federasi untuk AWS Management Console
akses, lihatOIDCfederasi.
Untuk meneruskan identitas sumber dari OpenID Connect (OIDC), Anda harus menyertakan identitas sumber di JSON Web Token ()JWT. Sertakan identitas sumber dalam namespace https://aws.amazon.com/
dalam token ketika Anda mengajukan permintaan AssumeRoleWithWebIdentity
. Untuk mempelajari lebih lanjut tentang OIDC token dan klaim, lihat Menggunakan Token dengan Kumpulan Pengguna di Panduan Amazon Cognito
Pengembang.
Misalnya, decoded berikut JWT adalah token yang digunakan untuk memanggil AssumeRoleWithWebIdentity
dengan identitas Admin
sumber.
contoh Contoh Token Web yang didekodekan JSON
{ "sub": "johndoe", "aud": "ac_oic_client", "jti": "ZYUCeRMQVtqHypVPWAN3VB", "iss": "https://xyz.com", "iat": 1566583294, "exp": 1566583354, "auth_time": 1566583292, "https://aws.amazon.com/source_identity":"Admin" }
Mengontrol akses menggunakan informasi identitas sumber
Ketika identitas sumber awalnya ditetapkan, SourceIdentity kunci sts: ada dalam permintaan. Setelah identitas sumber disetel, SourceIdentity kunci aws: hadir di semua permintaan berikutnya yang dibuat selama sesi peran. Sebagai administrator, Anda dapat menulis kebijakan yang memberikan otorisasi bersyarat untuk melakukan AWS tindakan berdasarkan keberadaan atau nilai atribut identitas sumber.
Bayangkan Anda ingin meminta pengembang Anda untuk menetapkan identitas sumber untuk mengambil peran penting yang memiliki izin untuk menulis ke AWS sumber daya penting produksi. Juga bayangkan bahwa Anda memberikan AWS akses ke identitas tenaga kerja Anda menggunakan. AssumeRoleWithSAML
Anda hanya ingin developer senior Saanvi dan Diego memiliki akses ke peran, sehingga Anda membuat kebijakan kepercayaan berikut untuk peran tersebut.
contoh Contoh kebijakan kepercayaan peran untuk identitas sumber (SAML)
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SAMLProviderAssumeRoleWithSAML", "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::
111122223333
:saml-provider/name-of-identity-provider" }, "Action": [ "sts:AssumeRoleWithSAML" ], "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Sid": "SetSourceIdentitySrEngs", "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::111122223333
:saml-provider/name-of-identity-provider" }, "Action": [ "sts:SetSourceIdentity" ], "Condition": { "StringLike": { "sts:SourceIdentity": [ "Saanvi", "Diego" ] } } } ] }
Kebijakan kepercayaan berisi syarat untuk sts:SourceIdentity
itu membutuhkan identitas sumber Saanvi atau Diego untuk mengambil peran penting.
Atau, jika Anda menggunakan OIDC penyedia untuk federasi dan pengguna diautentikasiAssumeRoleWithWebIdentity
, kebijakan kepercayaan peran Anda mungkin terlihat sebagai berikut.
contoh Contoh kebijakan kepercayaan peran untuk identitas sumber (OIDCpenyedia)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::
111122223333
:oidc-provider/server.example.com
" }, "Action": [ "sts:AssumeRoleWithWebIdentity", "sts:SetSourceIdentity" ], "Condition": { "StringEquals": { "server.example.com
:aud": "oidc-audience-id
" }, "StringLike": { "sts:SourceIdentity": [ "Saanvi", "Diego" ] } } } ] }
Peran perangkauan dan persyaratan lintas akun
Bayangkan Anda ingin mengizinkan pengguna yang mengasumsikan CriticalRole
untuk mengambil CriticalRole_2
di akun lain. Kredensial sesi peran yang diperoleh untuk mengasumsikan CriticalRole
digunakan untuk merangkai peran untuk peran kedua, CriticalRole_2
, di akun yang berbeda. Peran sedang diasumsikan di batas akun. Oleh karena itu, izin sts:SetSourceIdentity
harus diberikan dalam kedua kebijakan izin pada CriticalRole
dan dalam kebijakan kepercayaan peran di CriticalRole_2
.
contoh Contoh kebijakan izin pada CriticalRole
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AssumeRoleAndSetSourceIdentity", "Effect": "Allow", "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ], "Resource": "arn:aws:iam::
222222222222
:role/CriticalRole_2" } ] }
Untuk mengamankan pengaturan sumber identitas di batas akun, kebijakan kepercayaan peran berikut hanya mempercayai peran utama untuk CriticalRole
guna mengatur identitas sumber.
contoh Contoh kebijakan kepercayaan peran pada CriticalRole _2
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
111111111111
:role/CriticalRole" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ], "Condition": { "StringLike": { "aws:SourceIdentity": ["Saanvi","Diego"] } } } ] }
Pengguna membuat panggilan berikut menggunakan kredensi sesi peran yang diperoleh dari asumsi. CriticalRole Identitas sumber ditetapkan selama asumsi CriticalRole, sehingga tidak perlu diatur lagi secara eksplisit. Jika pengguna mencoba untuk mengatur identitas sumber yang berbeda dari nilai yang ditetapkan ketika diasumsikan CriticalRole
, permintaan peran asumsi akan ditolak.
contoh AssumeRole CLIPermintaan contoh
aws sts assume-role \ --role-arn arn:aws:iam::
222222222222
:role/CriticalRole_2 \ --role-session-name Audit \
Ketika penanggung jawab panggilan mengasumsikan peran, identitas sumber dalam permintaan tetap dari sesi peran diasumsikan pertama. Oleh karena itu, kedua kunci aws:SourceIdentity
dan sts:SourceIdentity
terdapat dalam konteks permintaan.
Melihat identitas sumber di CloudTrail
Anda dapat menggunakan CloudTrail untuk melihat permintaan yang dibuat untuk mengambil peran atau pengguna federasi. Anda juga dapat melihat peran atau permintaan pengguna untuk mengambil tindakan dalam AWS. File CloudTrail log mencakup informasi tentang identitas sumber yang ditetapkan untuk peran yang diasumsikan atau sesi pengguna federasi. Untuk informasi selengkapnya, silakan lihat Logging IAM dan AWS STS API panggilan dengan AWS CloudTrail
Misalnya, asumsikan bahwa pengguna membuat AWS STS AssumeRole
permintaan, dan menetapkan identitas sumber. Anda dapat menemukan sourceIdentity
informasi di requestParameters
kunci di CloudTrail log Anda.
contoh Contoh requestParameters bagian dalam AWS CloudTrail log
"eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "accountId": "111122223333" }, "eventTime": "2020-04-02T18:20:53Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRole", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.64", "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86", "requestParameters": { "roleArn": "arn:aws:iam::123456789012:role/DevRole", "roleSessionName": "Dev1", "sourceIdentity": "
source-identity-value-set
" }
Jika pengguna menggunakan sesi peran yang diasumsikan untuk melakukan tindakan, informasi identitas sumber ada di userIdentity
kunci di CloudTrail log.
contoh Contoh userIdentity kunci dalam AWS CloudTrail log
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAJ45Q7YFFAREXAMPLE:Dev1", "arn": "arn:aws:sts::123456789012:assumed-role/DevRole/Dev1", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:role/DevRole", "accountId": "123456789012", "userName": "DevRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-02-21T23:46:28Z" }, "sourceIdentity": "source-identity-value-present" } } }
Untuk melihat contoh AWS STS API peristiwa di CloudTrail log, lihatContoh IAM API peristiwa di CloudTrail log. Untuk detail selengkapnya tentang informasi yang terkandung dalam file CloudTrail log, lihat Referensi CloudTrail Acara di Panduan AWS CloudTrail Pengguna.