CloudTrail userIdentity elemen - AWS CloudTrail
ContohBidangNilai untuk AWS STS APIs dengan SAML dan federasi identitas webAWS STS identitas sumber

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudTrail userIdentity elemen

AWS Identity and Access Management (IAM) menyediakan berbagai jenis identitas. userIdentityElemen berisi rincian tentang jenis IAM identitas yang membuat permintaan, dan kredensi mana yang digunakan. Jika kredensial sementara digunakan, elemen menunjukkan bagaimana kredensialnya diperoleh.

Contoh

userIdentitydengan kredensi IAM pengguna

Contoh berikut menunjukkan userIdentity elemen permintaan sederhana yang dibuat dengan kredensi IAM pengguna bernama. Alice 

"userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDAJ45Q7YFFAREXAMPLE",
    "arn": "arn:aws:iam::123456789012:user/Alice",
    "accountId": "123456789012",
    "accessKeyId": "",
    "userName": "Alice"
}

userIdentitydengan kredensi keamanan sementara

Contoh berikut menunjukkan userIdentity elemen untuk permintaan yang dibuat dengan kredenal keamanan sementara yang diperoleh dengan mengasumsikan peran. IAM Elemen berisi rincian tambahan tentang peran yang diasumsikan untuk mendapatkan kredensional. 

"userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
    "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
    "accountId": "123456789012",
    "accessKeyId": "",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAIDPPEZS35WEXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
            "accountId": "123456789012",
            "userName": "RoleToBeAssumed"
        },
        "attributes": {
            "mfaAuthenticated": "false",
            "creationDate": "20131102T010628Z"
        }    
    }
}

userIdentityuntuk permintaan yang dibuat atas nama pengguna Pusat IAM Identitas

Contoh berikut menunjukkan userIdentity elemen untuk permintaan yang dibuat atas nama pengguna Pusat IAM Identitas. 

"userIdentity": {
    "type": "IdentityCenterUser",
    "accountId": "123456789012",
    "onBehalfOf": {
        "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
        "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7" 
    },
    "credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}

Untuk mempelajari selengkapnya tentang cara Anda dapat menggunakanuserId,, dan identityStoreArncredentialId, lihat Mengidentifikasi pengguna dan sesi di peristiwa yang dimulai oleh pengguna CloudTrail Pusat IAM Identitas di Panduan Pengguna Pusat IAM Identitas.

Bidang

Bidang berikut dapat muncul dalam userIdentity elemen.

type

Jenis identitas. Nilai-nilai berikut dimungkinkan:

  • Root— Permintaan dibuat dengan Akun AWS kredensialmu. Jika userIdentity jenisnyaRoot, dan Anda menetapkan alias untuk akun Anda, userName bidang berisi alias akun Anda. Untuk informasi selengkapnya, lihat Akun AWS ID Anda dan aliasnya.

  • IAMUser— Permintaan dibuat dengan kredensi pengguna. IAM

  • AssumedRole— Permintaan dibuat dengan kredenal keamanan sementara yang diperoleh dengan peran dengan melakukan panggilan ke AWS Security Token Service ()AWS STS. AssumeRoleAPI Ini dapat mencakup peran untuk Amazon EC2 dan API akses lintas akun.

  • Role— Permintaan dibuat dengan IAM identitas persisten yang memiliki izin khusus. Penerbit sesi peran selalu menjadi peran. Untuk informasi selengkapnya tentang peran, lihat Istilah dan konsep peran di Panduan IAM Pengguna.

  • FederatedUser— Permintaan dibuat dengan kredensi keamanan sementara yang diperoleh dari panggilan ke. AWS STS GetFederationTokenAPI sessionIssuerElemen menunjukkan apakah API dipanggil dengan root atau kredensi IAM pengguna.

    Untuk informasi selengkapnya tentang kredenal keamanan sementara, lihat Kredensial Keamanan Sementara di Panduan Pengguna. IAM

  • Directory— Permintaan dibuat ke layanan direktori, dan jenisnya tidak diketahui. Layanan direktori meliputi yang berikut: Amazon WorkDocs dan Amazon QuickSight.

  • AWSAccountPermintaan itu dibuat oleh orang lain Akun AWS

  • AWSService— Permintaan itu dibuat oleh seorang Akun AWS yang menjadi milik sebuah Layanan AWS. Misalnya, AWS Elastic Beanstalk mengambil IAM peran dalam akun Anda untuk menelepon orang lain Layanan AWS atas nama Anda.

  • IdentityCenterUser— Permintaan dibuat atas nama pengguna Pusat IAM Identitas.

  • Unknown— Permintaan dibuat dengan tipe identitas yang tidak CloudTrail dapat ditentukan.

Opsional: Salah

AWSAccountdan AWSService muncul type di log Anda ketika ada akses lintas akun menggunakan IAM peran yang Anda miliki.

Contoh: Akses lintas akun yang diprakarsai oleh akun lain AWS

  1. Anda memiliki IAM peran di akun Anda.

  2. AWS Akun lain beralih ke peran itu untuk mengambil peran untuk akun Anda.

  3. Karena Anda memiliki IAM peran, Anda menerima log yang menunjukkan akun lain mengambil peran tersebut. type adalah AWSAccount. Untuk entri log contoh, lihat AWS STS APIperistiwa di file CloudTrail log.

Contoh: Akses lintas akun yang diprakarsai oleh layanan AWS

  1. Anda memiliki IAM peran di akun Anda.

  2. AWS Akun yang dimiliki oleh AWS layanan mengasumsikan peran itu.

  3. Karena Anda memiliki IAM peran, Anda menerima log yang menunjukkan AWS layanan mengambil peran tersebut. type adalah AWSService.

userName

Nama ramah dari identitas yang membuat panggilan. Nilai yang muncul di userName didasarkan pada nilai dalamtype. Tabel berikut menunjukkan hubungan antara type danuserName:

type userName Deskripsi
Root(tidak ada set alias) Tidak hadir Jika Anda belum menyiapkan alias untuk Anda Akun AWS, userName bidang tidak muncul. Untuk informasi selengkapnya tentang alias akun, lihat Akun AWS ID Anda dan aliasnya. Perhatikan bahwa userName bidang tidak dapat berisiRoot, karena Root merupakan tipe identitas dan bukan nama pengguna.
Root(alias set) Alias akun Untuk informasi selengkapnya tentang Akun AWS alias, lihat Akun AWS ID Anda dan aliasnya.
IAMUser Nama pengguna IAM pengguna

AssumedRole

 Tidak hadir Untuk AssumedRole jenisnya, Anda dapat menemukan userName bidang sessionContext sebagai bagian dari sessionIssuerelemen. Untuk entri contoh, lihatContoh.

Role

 Ditentukan pengguna sessionIssuerBagian sessionContext dan berisi informasi tentang identitas yang mengeluarkan sesi untuk peran tersebut.
FederatedUser Tidak hadir sessionIssuerBagian sessionContext dan berisi informasi tentang identitas yang mengeluarkan sesi untuk pengguna federasi.
Directory Bisa hadir Misalnya, nilainya bisa berupa alias akun atau alamat email dari Akun AWS ID terkait.
AWSService Tidak hadir
AWSAccount Tidak hadir
IdentityCenterUser Tidak hadir onBehalfOfBagian ini berisi informasi tentang ID pengguna Pusat Identitas dan ARN penyimpanan identitas tempat panggilan dilakukan. IAM Untuk mempelajari lebih lanjut tentang bagaimana Anda dapat menggunakan dua bidang ini, lihat Mengidentifikasi pengguna dan sesi dalam peristiwa yang dimulai oleh pengguna CloudTrail Pusat IAM Identitas di Panduan Pengguna Pusat IAM Identitas.
Unknown Bisa hadir Misalnya, nilainya bisa berupa alias akun atau alamat email dari Akun AWS ID terkait.
catatan

userNameBidang berisi string HIDDEN_DUE_TO_SECURITY_REASONS ketika peristiwa yang direkam adalah kegagalan masuk konsol yang disebabkan oleh input nama pengguna yang salah. CloudTrail tidak merekam konten dalam kasus ini karena teks dapat berisi informasi sensitif, seperti dalam contoh berikut:

  • Seorang pengguna secara tidak sengaja mengetikkan kata sandi di bidang nama pengguna.

  • Pengguna mengklik tautan untuk halaman masuk satu AWS akun, tetapi kemudian mengetikkan nomor akun untuk yang berbeda.

  • Pengguna secara tidak sengaja mengetikkan nama akun akun email pribadi, pengenal masuk bank, atau ID pribadi lainnya.

Opsional: Benar

principalId

Pengidentifikasi unik untuk entitas yang melakukan panggilan. Untuk permintaan yang dibuat dengan kredenal keamanan sementara, nilai ini mencakup nama sesi yang diteruskan keAssumeRole,AssumeRoleWithWebIdentity, atau GetFederationToken API panggilan.

Opsional: Benar

arn

Nama Sumber Daya Amazon (ARN) dari kepala sekolah yang melakukan panggilan. Bagian terakhir dari arn berisi pengguna atau peran yang melakukan panggilan.

Opsional: Benar

accountId

Akun yang memiliki entitas yang memberikan izin untuk permintaan tersebut. Jika permintaan dibuat dengan kredensi keamanan sementara, ini adalah akun yang memiliki IAM pengguna atau peran yang digunakan untuk mendapatkan kredensi.

Jika permintaan dibuat dengan token akses resmi Pusat IAM Identitas, ini adalah akun yang memiliki instance Pusat IAM Identitas.

Opsional: Benar

accessKeyId

ID kunci akses yang digunakan untuk menandatangani permintaan. Jika permintaan dibuat dengan kredenal keamanan sementara, ini adalah ID kunci akses dari kredenal sementara. Untuk alasan keamanan, accessKeyId mungkin tidak ada, atau mungkin ditampilkan sebagai string kosong.

Opsional: Benar

sessionContext

Jika permintaan dibuat dengan kredenal keamanan sementara, sessionContext berikan informasi tentang sesi yang dibuat untuk kredensi tersebut. Anda membuat sesi ketika Anda memanggil salah satu API yang mengembalikan kredensi sementara. Pengguna juga membuat sesi ketika mereka bekerja di konsol dan membuat permintaan dengan APIs itu termasuk otentikasi multi-faktor. Atribut berikut dapat muncul disessionContext:

  • sessionIssuerJika pengguna membuat permintaan dengan kredensi keamanan sementara, sessionIssuer berikan informasi tentang bagaimana pengguna memperoleh kredensi. Misalnya, jika mereka memperoleh kredensi keamanan sementara dengan mengambil peran, elemen ini memberikan informasi tentang peran yang diasumsikan. Jika mereka memperoleh kredensi dengan kredensi root atau IAM pengguna untuk dipanggil AWS STS GetFederationToken, elemen tersebut memberikan informasi tentang akun root atau pengguna. IAM Elemen ini memiliki atribut berikut:

    • type— Sumber kredensi keamanan sementara, seperti, RootIAMUser, atau. Role

    • userName— Nama ramah pengguna atau peran yang mengeluarkan sesi. Nilai yang muncul tergantung pada sessionIssuer identitastype. Tabel berikut menunjukkan hubungan antara sessionIssuer type danuserName:

      sessionIssuerjenis userName Deskripsi
      Root(tidak ada set alias) Tidak hadir Jika Anda belum menyiapkan alias untuk akun Anda, userName bidang tidak muncul. Untuk informasi selengkapnya tentang Akun AWS alias, lihat Akun AWS ID Anda dan aliasnya. Perhatikan bahwa userName bidang tidak dapat berisiRoot, karena Root merupakan tipe identitas, bukan nama pengguna.
      Root(alias set) Alias akun Untuk informasi selengkapnya tentang Akun AWS alias, lihat ID AWS akun Anda dan aliasnya.
      IAMUser Nama pengguna IAM pengguna Ini juga berlaku ketika pengguna federasi menggunakan sesi yang dikeluarkan olehIAMUser.
      Role Nama peran Peran yang diasumsikan oleh IAM pengguna Layanan AWS,, atau pengguna federasi identitas web dalam sesi peran.

    • principalId— ID internal entitas yang digunakan untuk mendapatkan kredensi.

    • arn— Sumber (akun, IAM pengguna, atau peran) yang digunakan untuk mendapatkan kredensi keamanan sementara. ARN

    • accountId— Akun yang memiliki entitas yang digunakan untuk mendapatkan kredensi.

  • webIdFederationData— Jika permintaan dibuat dengan kredenal keamanan sementara yang diperoleh oleh federasi identitas web, webIdFederationData daftar informasi tentang penyedia identitas.

    Elemen ini memiliki atribut berikut:

    • federatedProvider— Nama utama penyedia identitas (misalnya, www.amazon.com untuk Login with Amazon atau accounts.google.com untuk Google).

    • attributes— ID aplikasi dan ID pengguna seperti yang dilaporkan oleh penyedia (misalnya, www.amazon.com:app_id dan www.amazon.com:user_id untuk Login with Amazon).

    catatan

    Kelalaian bidang ini atau keberadaan bidang ini dengan nilai kosong menandakan bahwa tidak ada informasi tentang penyedia identitas.

  • assumedRoot— Nilai adalah true untuk sesi sementara ketika akun manajemen atau panggilan AWS STS AssumedRootadministrator yang didelegasikan. Untuk informasi selengkapnya, lihat Melacak tugas istimewa CloudTrail di Panduan IAM Pengguna. Ini adalah bidang opsional.

  • attributes— Atribut untuk sesi.

    • creationDate— Tanggal dan waktu ketika kredensi keamanan sementara dikeluarkan. Diwakili dalam ISO 8601 notasi dasar.

    • mfaAuthenticated— Nilainya adalah true jika pengguna root atau IAM pengguna yang menggunakan kredensialnya untuk permintaan tersebut juga diautentikasi dengan MFA perangkat; jika tidak,. false

  • sourceIdentity— Lihat AWS STS identitas sumber di topik ini. sourceIdentityBidang terjadi dalam peristiwa ketika pengguna mengambil IAM peran untuk melakukan tindakan. sourceIdentitymengidentifikasi identitas pengguna asli yang membuat permintaan, apakah identitas pengguna tersebut adalah pengguna, IAM peran, pengguna yang IAM diautentikasi melalui federasi SAML berbasis, atau pengguna yang diautentikasi melalui federasi identitas web yang sesuai dengan OpenID Connect OIDC (). Untuk informasi selengkapnya tentang mengonfigurasi AWS STS untuk mengumpulkan informasi identitas sumber, lihat Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan dalam Panduan IAM Pengguna.

  • ec2RoleDelivery— Nilainya adalah 1.0 jika kredensialnya disediakan oleh Amazon EC2 Instance Metadata Service Version 1 (). IMDSv1 Nilainya adalah 2.0 jika kredensialnya diberikan menggunakan skema baruIMDS.

    AWS kredensi yang disediakan oleh Amazon EC2 Instance Metadata Service (IMDS) menyertakan kunci konteks ec2:. RoleDelivery IAM Kunci konteks ini memudahkan untuk menerapkan penggunaan skema baru atas resource-by-resource dasar service-by-service atau dengan menggunakan kunci konteks sebagai kondisi dalam IAM kebijakan, kebijakan sumber daya, atau kebijakan kontrol AWS Organizations layanan. Untuk informasi selengkapnya, lihat Metadata instans dan data pengguna di EC2Panduan Pengguna Amazon.

Opsional: Benar

invokedBy

Nama Layanan AWS yang membuat permintaan, ketika permintaan dibuat oleh Layanan AWS seperti Amazon EC2 Auto Scaling atau. AWS Elastic Beanstalk Bidang ini hanya ada ketika permintaan dibuat oleh Layanan AWS. Ini termasuk permintaan yang dibuat oleh layanan menggunakan sesi akses teruskan (FAS), Layanan AWS prinsipal, peran terkait layanan, atau peran layanan yang digunakan oleh file. Layanan AWS

Opsional: Benar

onBehalfOf

Jika permintaan dibuat oleh penelepon Pusat IAM Identitas, onBehalfOf berikan informasi tentang ID pengguna Pusat IAM Identitas dan ARN penyimpanan identitas tempat panggilan dilakukan. Elemen ini memiliki atribut berikut:

  • userId— ID pengguna Pusat IAM Identitas yang panggilan dilakukan atas nama.

  • identityStoreArn— Toko IAM identitas Pusat Identitas tempat panggilan dilakukan atas nama. ARN

Opsional: Benar

inScopeOf

Jika permintaan dibuat dalam lingkup Layanan AWS, seperti Lambda atau AmazonECS, itu memberikan informasi tentang sumber daya atau kredensional yang terkait dengan permintaan tersebut. Elemen ini dapat berisi atribut berikut:

  • sourceArn— ARN Sumber daya yang memanggil service-to-service permintaan.

  • sourceAccount— ID akun pemilik untuksourceArn. Itu muncul bersama dengansourceArn.

  • issuerType— Jenis sumber dayacredentialsIssuedTo. Misalnya, AWS::Lambda::Function.

  • credentialsIssuedTo— Sumber daya yang terkait dengan lingkungan tempat kredensi dikeluarkan.

Opsional: Benar

credentialId

ID kredensi untuk permintaan tersebut. Ini hanya diatur ketika penelepon menggunakan token pembawa, seperti token akses resmi Pusat IAM Identitas.

Opsional: Benar

Nilai untuk AWS STS APIs dengan SAML dan federasi identitas web

AWS CloudTrail mendukung logging AWS Security Token Service (AWS STS) API panggilan yang dilakukan dengan Security Assertion Markup Language (SAML) dan federasi identitas web. Saat pengguna melakukan panggilan ke AssumeRoleWithSAMLdan AssumeRoleWithWebIdentityAPIs, CloudTrail merekam panggilan dan mengirimkan acara ke bucket Amazon S3 Anda.

userIdentityElemen untuk ini APIs berisi nilai-nilai berikut.

type

Tipe identitas.

  • SAMLUserPermintaan itu dibuat dengan SAML pernyataan.

  • WebIdentityUser— Permintaan dibuat oleh penyedia federasi identitas web.

principalId

Pengidentifikasi unik untuk entitas yang melakukan panggilan.

  • SebabSAMLUser, ini adalah kombinasi dari tombol saml:namequalifier dan saml:sub tombol.

  • SebabWebIdentityUser, ini adalah kombinasi dari penerbit, ID aplikasi, dan ID pengguna.

userName

Nama identitas yang membuat panggilan.

  • SebabSAMLUser, inilah saml:sub kuncinya.

  • UntukWebIdentityUser, ini adalah ID pengguna.

identityProvider

Nama utama penyedia identitas eksternal. Bidang ini hanya muncul untuk SAMLUser atau WebIdentityUser jenis.

  • KarenaSAMLUser, ini adalah saml:namequalifier kunci untuk SAML pernyataan tersebut.

  • UntukWebIdentityUser, ini adalah nama penerbit penyedia federasi identitas web. Ini bisa menjadi penyedia yang Anda konfigurasikan, seperti berikut ini:

    • cognito-identity.amazon.com.rproxy.goskope.comuntuk Amazon Cognito

    • www.amazon.com.rproxy.goskope.comuntuk Login with Amazon

    • accounts.google.comuntuk Google

    • graph.facebook.comuntuk Facebook

Berikut ini adalah userIdentity elemen contoh untuk AssumeRoleWithWebIdentity tindakan.

"userIdentity": {
    "type": "WebIdentityUser",
    "principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id",
    "userName": "user-id",
    "identityProvider": "accounts.google.com"
  }

Misalnya log tentang bagaimana userIdentity elemen muncul untuk SAMLUser dan WebIdentityUser jenis, lihat Logging IAM dan AWS STS API panggilan dengan AWS CloudTrail.

AWS STS identitas sumber

IAMAdministrator dapat mengonfigurasi AWS Security Token Service untuk mengharuskan pengguna menentukan identitas mereka ketika mereka menggunakan kredensi sementara untuk mengambil peran. sourceIdentityField terjadi dalam peristiwa ketika pengguna mengambil IAM peran atau melakukan tindakan apa pun dengan peran yang diasumsikan.

sourceIdentityBidang mengidentifikasi identitas pengguna asli yang membuat permintaan, apakah identitas pengguna tersebut adalah pengguna, IAM peran, pengguna yang IAM diautentikasi dengan menggunakan federasi SAML berbasis, atau pengguna yang diautentikasi dengan menggunakan federasi identitas web yang sesuai dengan OpenID Connect OIDC (). Setelah IAM administrator mengonfigurasi AWS STS, CloudTrail mencatat sourceIdentity informasi dalam peristiwa dan lokasi berikut dalam catatan peristiwa:

  • AssumeRoleWithWebIdentityPanggilan AWS STS AssumeRoleAssumeRoleWithSAML,, atau yang dibuat identitas pengguna ketika mengambil peran. sourceIdentityditemukan di requestParameters blok AWS STS panggilan.

  • AssumeRoleWithWebIdentityPanggilan AWS STS AssumeRoleAssumeRoleWithSAML,, atau yang dibuat identitas pengguna jika menggunakan peran untuk mengambil peran lain, yang dikenal sebagai rantai peran. sourceIdentityditemukan di requestParameters blok AWS STS panggilan.

  • AWS Layanan API panggilan yang dibuat oleh identitas pengguna saat mengambil peran dan menggunakan kredenal sementara yang ditetapkan oleh. AWS STS Dalam API acara layanansourceIdentity, ditemukan di sessionContext blok. Misalnya, jika identitas pengguna membuat bucket S3 baru, sourceIdentity terjadi di sessionContext blok CreateBucket acara.

Untuk informasi selengkapnya tentang cara mengonfigurasi AWS STS untuk mengumpulkan informasi identitas sumber, lihat Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan di Panduan IAM Pengguna. Untuk informasi selengkapnya tentang AWS STS peristiwa yang dicatat CloudTrail, lihat Logging IAM dan AWS STS API panggilan dengan AWS CloudTrail di Panduan IAM Pengguna.

Berikut ini adalah contoh cuplikan peristiwa yang menunjukkan bidang. sourceIdentity

requestParametersBagian contoh

Dalam contoh cuplikan peristiwa berikut, pengguna membuat AWS STS AssumeRole permintaan, dan menetapkan identitas sumber, diwakili di sini oleh. source-identity-value-set Pengguna mengasumsikan peran yang diwakili oleh peran ARN arn:aws:iam::123456789012:role/Assumed_Role tersebut. sourceIdentityBidang berada di requestParameters blok acara.

"eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AIDAJ45Q7YFFAREXAMPLE",
        "accountId": "123456789012"
    },
    "eventTime": "2020-04-02T18:20:53Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "203.0.113.64",
    "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
    "requestParameters": {
        "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
        "roleSessionName": "Test1",
        "sourceIdentity": "source-identity-value-set",
    },

responseElementsBagian contoh

Dalam contoh cuplikan peristiwa berikut, pengguna membuat AWS STS AssumeRole permintaan untuk mengambil peran bernamaDeveloper_Role, dan menetapkan identitas sumber,. Admin Pengguna mengasumsikan peran yang diwakili oleh peran ARN arn:aws:iam::111122223333:role/Developer_Role tersebut. sourceIdentityBidang ditampilkan di responseElements blok requestParameters dan blok acara. Kredensi sementara yang digunakan untuk mengambil peran, string token sesi, dan ID peran yang diasumsikan, nama sesi, dan sesi ARN ditampilkan di responseElements blok, bersama dengan identitas sumber.

    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
        "roleSessionName": "Session_Name",
        "sourceIdentity": "Admin"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "expiration": "Jan 22, 2021 12:46:28 AM",
            "sessionToken": "XXYYaz...
                             EXAMPLE_SESSION_TOKEN
                             XXyYaZAz"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
            "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
        },
        "sourceIdentity": "Admin"
    }
...

sessionContextBagian contoh

Dalam contoh cuplikan peristiwa berikut, pengguna mengasumsikan peran bernama DevRole untuk memanggil layanan. AWS API Pengguna menetapkan identitas sumber, diwakili di sini olehsource-identity-value-set. sourceIdentityBidang ada di sessionContext blok, di dalam userIdentity blok acara.

{
  "eventVersion": "1.08",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
    "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
    "accountId": "123456789012",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAJ45Q7YFFAREXAMPLE",
        "arn": "arn: aws: iam: : 123456789012: role/DevRole",
        "accountId": "123456789012",
        "userName": "DevRole"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2021-02-21T23: 46: 28Z"
      },
      "sourceIdentity": "source-identity-value-set"
    }
  }
}