Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# CloudTrail elemen UserIdentity
AWS Identity and Access Management (IAM) menyediakan berbagai jenis identitas. `userIdentity`Elemen berisi rincian tentang jenis identitas IAM yang membuat permintaan, dan kredensi mana yang digunakan. Jika kredensial sementara digunakan, elemen menunjukkan bagaimana kredensialnya diperoleh.
**Contents**
+ [Contoh](#cloudtrail-event-reference-user-identity-examples)
+ [Bidang](#cloudtrail-event-reference-user-identity-fields)
+ [Nilai untuk AWS STS APIs dengan SAFL dan federasi identitas web](#STS-API-SAML-WIF)
+ [AWS STS identitas sumber](#STS-API-source-identity)
## Contoh
**`userIdentity`dengan kredensil pengguna IAM**
Contoh berikut menunjukkan `userIdentity` elemen permintaan sederhana yang dibuat dengan kredensi pengguna IAM bernama. `Alice`
```
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "Alice"
}
```
**`userIdentity`dengan kredensil keamanan sementara**
Contoh berikut menunjukkan `userIdentity` elemen untuk permintaan yang dibuat dengan kredensil keamanan sementara yang diperoleh dengan mengasumsikan peran IAM. Elemen berisi rincian tambahan tentang peran yang diasumsikan untuk mendapatkan kredensional.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "123456789012",
"accessKeyId": "",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIDPPEZS35WEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "20131102T010628Z"
}
}
}
```
**`userIdentity`untuk permintaan yang dibuat atas nama pengguna IAM Identity Center**
Contoh berikut menunjukkan `userIdentity` elemen untuk permintaan yang dibuat atas nama pengguna IAM Identity Center.
```
"userIdentity": {
"type": "IdentityCenterUser",
"accountId": "123456789012",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7"
},
"credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}
```
Untuk mempelajari selengkapnya tentang cara Anda dapat menggunakan`userId`,`identityStoreArn`, dan`credentialId`, lihat [Mengidentifikasi pengguna dan sesi dalam CloudTrail peristiwa yang dimulai pengguna Pusat Identitas IAM di Panduan Pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html#user-session-iam-identity-center) Pusat Identitas *IAM*.
**`userIdentity`dengan permintaan yang diprakarsai oleh penyedia produk**
Semua tindakan yang dilakukan oleh penyedia produk menggunakan akses delegasi sementara secara otomatis masuk CloudTrail. Ini memberikan visibilitas lengkap dan auditabilitas aktivitas penyedia produk di akun Anda AWS . Anda dapat mengidentifikasi tindakan mana yang diambil oleh penyedia produk, kapan itu terjadi, dan akun penyedia produk mana yang melakukannya.
Untuk membantu Anda membedakan antara tindakan yang diambil oleh prinsipal IAM Anda sendiri dan tindakan yang diambil oleh penyedia produk dengan akses yang didelegasikan, CloudTrail acara menyertakan bidang baru yang disebut di bawah elemen. `invokedByDelegate` `userIdentity` Bidang ini berisi ID AWS akun penyedia produk, sehingga mudah untuk memfilter dan mengaudit semua tindakan yang didelegasikan.
Contoh berikut menunjukkan `userIdentity` elemen untuk tindakan yang dilakukan oleh penyedia produk menggunakan akses didelegasikan sementara.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAI...",
"arn": "arn:aws:sts::123456789012:assumed-role/Alice/Session",
"accountId": "123456789012",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAI...",
"arn": "arn:aws:iam::123456789012:role/Alice",
"accountId": "123456789012",
"userName": "Alice"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "20131102T010628Z"
}
},
"invokedByDelegate": {
"accountId": "999999999999"
}
}
```
`invokedByDelegate`Kolom berisi ID AWS akun penyedia produk yang melakukan tindakan menggunakan akses yang didelegasikan. Dalam contoh ini, akun 999999999999 (penyedia produk) melakukan tindakan di akun 123456789012 (akun pelanggan).
## Bidang
Bidang berikut dapat muncul dalam `userIdentity` elemen.
**`type`**
Jenis identitasnya. Nilai-nilai berikut dimungkinkan:
+ `Root`— Permintaan dibuat dengan Akun AWS kredensialmu. Jika `userIdentity` jenisnya`Root`, dan Anda menetapkan alias untuk akun Anda, `userName` bidang berisi alias akun Anda. Untuk informasi selengkapnya, lihat [Akun AWS ID Anda dan aliasnya](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html).
+ `IAMUser`— Permintaan dibuat dengan kredensil pengguna IAM.
+ `AssumedRole`— Permintaan dibuat dengan kredensil keamanan sementara yang diperoleh dengan peran dengan melakukan panggilan ke AWS Security Token Service (AWS STS) [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API. Ini dapat mencakup [peran untuk Amazon EC2 dan akses API](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) lintas akun.
+ `Role`— Permintaan dibuat dengan identitas IAM persisten yang memiliki izin khusus. Penerbit sesi peran selalu menjadi peran. Untuk informasi selengkapnya tentang peran, lihat [Istilah dan konsep peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) dalam *Panduan Pengguna IAM*.
+ `FederatedUser`— Permintaan dibuat dengan kredensil keamanan sementara yang diperoleh dari panggilan ke API. AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) `sessionIssuer`Elemen menunjukkan apakah API dipanggil dengan kredenal pengguna root atau IAM.
Untuk informasi selengkapnya tentang kredensial keamanan sementara, lihat [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dalam *Panduan Pengguna IAM*.
+ `Directory`— Permintaan dibuat ke layanan direktori, dan jenisnya tidak diketahui. Layanan direktori meliputi yang berikut: Amazon WorkDocs dan Amazon Quick.
+ `AWSAccount`Permintaan itu dibuat oleh orang lain Akun AWS
+ `AWSService`— Permintaan itu dibuat oleh seorang Akun AWS yang menjadi milik sebuah Layanan AWS. Misalnya, AWS Elastic Beanstalk mengasumsikan peran IAM di akun Anda untuk menelepon orang lain Layanan AWS atas nama Anda.
+ `IdentityCenterUser`— Permintaan dibuat atas nama pengguna IAM Identity Center.
+ `Unknown`— Permintaan dibuat dengan tipe identitas yang tidak CloudTrail dapat ditentukan.
**Opsional:** Salah
`AWSAccount`dan `AWSService` muncul `type` di log Anda ketika ada akses lintas akun menggunakan peran IAM yang Anda miliki.
**Contoh: Akses lintas akun yang diprakarsai oleh akun lain AWS**
1. Anda memiliki peran IAM di akun Anda.
1. AWS Akun lain beralih ke peran itu untuk mengambil peran untuk akun Anda.
1. Karena Anda memiliki peran IAM, Anda menerima log yang menunjukkan akun lain yang mengambil peran tersebut. `type` adalah `AWSAccount`. Untuk contoh entri log, lihat [peristiwa AWS STS API di file CloudTrail log](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample).
**Contoh: Akses lintas akun yang diprakarsai oleh layanan AWS**
1. Anda memiliki peran IAM di akun Anda.
1. AWS Akun yang dimiliki oleh AWS layanan mengasumsikan peran itu.
1. Karena Anda memiliki peran IAM, Anda menerima log yang menunjukkan AWS layanan mengambil peran tersebut. `type` adalah `AWSService`.
**`userName`**
Nama ramah dari identitas yang membuat panggilan. Nilai yang muncul di `userName` didasarkan pada nilai dalam`type`. Tabel berikut menunjukkan hubungan antara `type` dan`userName`:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
`userName`Bidang berisi string `HIDDEN_DUE_TO_SECURITY_REASONS` ketika peristiwa yang direkam adalah kegagalan masuk konsol yang disebabkan oleh input nama pengguna yang salah. CloudTrail tidak merekam konten dalam kasus ini karena teks dapat berisi informasi sensitif, seperti dalam contoh berikut:
+ Seorang pengguna secara tidak sengaja mengetikkan kata sandi di bidang nama pengguna.
+ Pengguna mengklik tautan untuk halaman masuk satu AWS akun, tetapi kemudian mengetikkan nomor akun untuk yang berbeda.
+ Pengguna secara tidak sengaja mengetikkan nama akun akun email pribadi, pengenal masuk bank, atau ID pribadi lainnya.
**Opsional:** Benar
**`principalId`**
Pengidentifikasi unik untuk entitas yang melakukan panggilan. Untuk permintaan yang dibuat dengan kredensil keamanan sementara, nilai ini mencakup nama sesi yang diteruskan ke`AssumeRole`,`AssumeRoleWithWebIdentity`, atau panggilan `GetFederationToken` API.
**Opsional:** Benar
**`arn`**
Nama Sumber Daya Amazon (ARN) dari kepala sekolah yang melakukan panggilan. Bagian terakhir dari arn berisi pengguna atau peran yang melakukan panggilan.
**Opsional:** Benar
**`accountId`**
Akun yang memiliki entitas yang memberikan izin untuk permintaan tersebut. Jika permintaan dibuat dengan kredensil keamanan sementara, ini adalah akun yang memiliki pengguna IAM atau peran yang digunakan untuk mendapatkan kredensil.
Jika permintaan dibuat dengan token akses resmi IAM Identity Center, ini adalah akun yang memiliki instans Pusat Identitas IAM.
**Opsional:** Benar
**`accessKeyId`**
ID kunci akses yang digunakan untuk menandatangani permintaan. Jika permintaan dibuat dengan kredenal keamanan sementara, ini adalah ID kunci akses dari kredenal sementara. Untuk alasan keamanan, `accessKeyId` mungkin tidak ada, atau mungkin ditampilkan sebagai string kosong.
**Opsional:** Benar
**`sessionContext`**
Jika permintaan dibuat dengan kredensil keamanan sementara, `sessionContext` berikan informasi tentang sesi yang dibuat untuk kredensil tersebut. Anda membuat sesi saat memanggil API apa pun yang mengembalikan kredensi sementara. Pengguna juga membuat sesi ketika mereka bekerja di konsol dan membuat permintaan dengan APIs itu termasuk [otentikasi multi-faktor](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). Atribut berikut dapat muncul di`sessionContext`:
+ `sessionIssuer`Jika pengguna membuat permintaan dengan kredensil keamanan sementara, `sessionIssuer` memberikan informasi tentang bagaimana pengguna memperoleh kredensil. Misalnya, jika mereka memperoleh kredensil keamanan sementara dengan mengambil peran, elemen ini memberikan informasi tentang peran yang diasumsikan. Jika mereka memperoleh kredensil dengan kredensi pengguna root atau IAM untuk dipanggil AWS STS `GetFederationToken`, elemen tersebut memberikan informasi tentang akun root atau pengguna IAM. Elemen ini memiliki atribut berikut:
+ `type`— Sumber kredensi keamanan sementara, seperti, `Root``IAMUser`, atau. `Role`
+ `userName`— Nama ramah pengguna atau peran yang mengeluarkan sesi. Nilai yang muncul tergantung pada `sessionIssuer` identitas`type`. Tabel berikut menunjukkan hubungan antara `sessionIssuer type` dan`userName`:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
+ `principalId`— ID internal entitas yang digunakan untuk mendapatkan kredensil.
+ `arn`ARN dari sumber (akun, pengguna IAM, atau peran) yang digunakan untuk mendapatkan kredensi keamanan sementara.
+ `accountId`— Akun yang memiliki entitas yang digunakan untuk mendapatkan kredensil.
+ `webIdFederationData`— Jika permintaan dibuat dengan kredensil keamanan sementara yang diperoleh oleh [federasi identitas web](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html), `webIdFederationData` daftar informasi tentang penyedia identitas.
Elemen ini memiliki atribut berikut:
+ `federatedProvider`— Nama utama penyedia identitas (misalnya, `www.amazon.com` untuk Login with Amazon atau `accounts.google.com` untuk Google).
+ `attributes`— ID aplikasi dan ID pengguna seperti yang dilaporkan oleh penyedia (misalnya, `www.amazon.com:app_id` dan `www.amazon.com:user_id` untuk Login with Amazon).
**catatan**
Kelalaian bidang ini atau keberadaan bidang ini dengan nilai kosong menandakan bahwa tidak ada informasi tentang penyedia identitas.
+ `assumedRoot`— Nilai adalah `true` untuk sesi sementara ketika akun manajemen atau panggilan AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)administrator yang didelegasikan. Untuk informasi selengkapnya, lihat [Melacak tugas istimewa CloudTrail di](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-track-privileged-tasks.html) *Panduan Pengguna IAM*. Ini adalah bidang opsional.
+ `attributes`— Atribut untuk sesi.
+ `creationDate`— Tanggal dan waktu ketika kredensil keamanan sementara dikeluarkan. Diwakili dalam notasi dasar ISO 8601.
+ `mfaAuthenticated`— Nilainya adalah `true` jika pengguna root atau pengguna IAM yang menggunakan kredensialnya untuk permintaan tersebut juga diautentikasi dengan perangkat MFA; jika tidak,. `false`
+ `sourceIdentity`— Lihat [AWS STS identitas sumber](#STS-API-source-identity) di topik ini. `sourceIdentity`Bidang terjadi dalam peristiwa ketika pengguna mengambil peran IAM untuk melakukan tindakan. `sourceIdentity`mengidentifikasi identitas pengguna asli yang membuat permintaan, apakah identitas pengguna tersebut adalah pengguna IAM, peran IAM, pengguna yang diautentikasi melalui federasi berbasis SAML, atau pengguna yang diautentikasi melalui federasi identitas web yang sesuai dengan OpenID Connect (OIDC). Untuk informasi selengkapnya tentang mengonfigurasi AWS STS untuk mengumpulkan informasi identitas sumber, lihat [Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html) dalam *Panduan Pengguna IAM*.
+ `ec2RoleDelivery`— Nilainya adalah `1.0` jika kredensialnya disediakan oleh Amazon EC2 Instans Metadata Service Versi 1 (). IMDSv1 Nilainya adalah `2.0` jika kredensil diberikan menggunakan skema IMDS baru.
AWS kredensional yang disediakan oleh Amazon EC2 Instance Metadata Service (IMDS) menyertakan kunci konteks ec2: IAM. RoleDelivery Kunci konteks ini memudahkan untuk menerapkan penggunaan skema baru atas resource-by-resource dasar service-by-service atau dengan menggunakan kunci konteks sebagai syarat dalam kebijakan IAM, kebijakan sumber daya, atau kebijakan kontrol AWS Organizations layanan. Untuk informasi selengkapnya, lihat [Metadata instans dan data pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) di Panduan Pengguna *Amazon EC2*.
**Opsional:** Benar
**`invokedBy`**
Nama Layanan AWS yang membuat permintaan, ketika permintaan dibuat oleh Layanan AWS seperti Amazon EC2 Auto AWS Elastic Beanstalk Scaling atau. Bidang ini hanya ada ketika permintaan dibuat oleh Layanan AWS. Ini termasuk permintaan yang dibuat oleh layanan menggunakan sesi akses maju (FAS), Layanan AWS kepala sekolah, peran terkait layanan, atau peran layanan yang digunakan oleh file. Layanan AWS
**Opsional:** Benar
**`invokedByDelegate`**
Melacak permintaan yang dibuat oleh penyedia produk menggunakan akses delegasi sementara di AWS akun Anda. Bidang ini hanya muncul ketika penyedia produk memulai permintaan API menggunakan izin yang didelegasikan. Jika ada, `invokedByDelegate` berikan informasi tentang akun penyedia produk yang membuat permintaan. Elemen ini memiliki atribut berikut:
+ `accountId`— ID AWS akun penyedia produk yang memulai permintaan.
*Untuk informasi selengkapnya dan contoh JSON dari akses yang didelegasikan dalam CloudTrail acara, lihat [CloudTrail entri untuk kredensil keamanan sementara di Panduan Pengguna IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/temporary-delegation-cloudtrail.html)*
**Opsional:** Benar
**`onBehalfOf`**
Jika permintaan dibuat oleh penelepon IAM Identity Center, `onBehalfOf` berikan informasi tentang ID pengguna IAM Identity Center dan ARN toko identitas tempat panggilan dilakukan. Elemen ini memiliki atribut berikut:
+ `userId`— ID pengguna IAM Identity Center yang panggilan dilakukan atas nama.
+ `identityStoreArn`— ARN dari toko identitas IAM Identity Center tempat panggilan dilakukan atas nama.
**Opsional:** Benar
**`inScopeOf`**
Jika permintaan dibuat dalam lingkup Layanan AWS, seperti Lambda atau Amazon ECS, permintaan tersebut memberikan informasi tentang sumber daya atau kredensil yang terkait dengan permintaan tersebut. Elemen ini dapat berisi atribut berikut:
+ `sourceArn`— ARN dari sumber daya yang memanggil permintaan. service-to-service
+ `sourceAccount`— ID akun pemilik untuk`sourceArn`. Itu muncul bersama dengan`sourceArn`.
+ `issuerType`— Jenis sumber daya`credentialsIssuedTo`. Misalnya, `AWS::Lambda::Function`.
+ `credentialsIssuedTo`— Sumber daya yang terkait dengan lingkungan tempat kredensi dikeluarkan.
**Opsional:** Benar
**`credentialId`**
ID kredensi untuk permintaan tersebut. Ini hanya diatur ketika penelepon menggunakan token pembawa, seperti token akses resmi IAM Identity Center.
**Opsional:** Benar
## Nilai untuk AWS STS APIs dengan SAFL dan federasi identitas web
AWS CloudTrail mendukung logging AWS Security Token Service (AWS STS) panggilan API yang dilakukan dengan Security Assertion Markup Language (SAFL) dan federasi identitas web. Saat pengguna melakukan panggilan ke [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)dan [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) APIs, CloudTrail merekam panggilan dan mengirimkan acara ke bucket Amazon S3 Anda.
`userIdentity`Elemen untuk ini APIs berisi nilai-nilai berikut.
**`type`**
Tipe identitas.
+ `SAMLUser`Permintaan itu dibuat dengan pernyataan SAFL.
+ `WebIdentityUser`— Permintaan dibuat oleh penyedia federasi identitas web.
**`principalId`**
Pengidentifikasi unik untuk entitas yang melakukan panggilan.
+ Sebab`SAMLUser`, ini adalah kombinasi dari tombol `saml:namequalifier` dan `saml:sub` tombol.
+ Sebab`WebIdentityUser`, ini adalah kombinasi dari penerbit, ID aplikasi, dan ID pengguna.
**`userName`**
Nama identitas yang membuat panggilan.
+ Sebab`SAMLUser`, inilah `saml:sub` kuncinya.
+ Untuk`WebIdentityUser`, ini adalah ID pengguna.
**`identityProvider`**
Nama utama penyedia identitas eksternal. Bidang ini hanya muncul untuk `SAMLUser` atau `WebIdentityUser` jenis.
+ Sebab`SAMLUser`, ini adalah `saml:namequalifier` kunci untuk pernyataan SAFL.
+ Untuk`WebIdentityUser`, ini adalah nama penerbit penyedia federasi identitas web. Ini bisa menjadi penyedia yang Anda konfigurasikan, seperti berikut ini:
+ `cognito-identity.amazon.com`untuk Amazon Cognito
+ `www.amazon.com`untuk Login with Amazon
+ `accounts.google.com`untuk Google
+ `graph.facebook.com`untuk Facebook
Berikut ini adalah `userIdentity` elemen contoh untuk `AssumeRoleWithWebIdentity` tindakan.
```
"userIdentity": {
"type": "WebIdentityUser",
"principalId": "accounts.google.com:{{application-id}}.apps.googleusercontent.com:{{user-id}}",
"userName": "{{user-id}}",
"identityProvider": "accounts.google.com"
}
```
Misalnya log tentang bagaimana `userIdentity` elemen muncul `SAMLUser` dan `WebIdentityUser` tipe, lihat [Logging IAM dan panggilan AWS STS API dengan AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html).
## AWS STS identitas sumber
Administrator IAM dapat mengonfigurasi AWS Security Token Service untuk mengharuskan pengguna menentukan identitas mereka ketika mereka menggunakan kredensi sementara untuk mengambil peran. `sourceIdentity`Field terjadi dalam peristiwa ketika pengguna mengambil peran IAM atau melakukan tindakan apa pun dengan peran yang diasumsikan.
`sourceIdentity`Bidang mengidentifikasi identitas pengguna asli yang membuat permintaan, apakah identitas pengguna tersebut adalah pengguna IAM, peran IAM, pengguna yang diautentikasi dengan menggunakan federasi berbasis SAML, atau pengguna yang diautentikasi dengan menggunakan federasi identitas web yang sesuai dengan OpenID Connect (OIDC). Setelah administrator IAM mengonfigurasi AWS STS, CloudTrail mencatat `sourceIdentity` informasi dalam peristiwa dan lokasi berikut dalam catatan peristiwa:
+ `AssumeRoleWithWebIdentity`Panggilan AWS STS `AssumeRole``AssumeRoleWithSAML`,, atau yang dibuat identitas pengguna ketika mengambil peran. `sourceIdentity`ditemukan di `requestParameters` blok AWS STS panggilan.
+ `AssumeRoleWithWebIdentity`Panggilan AWS STS `AssumeRole``AssumeRoleWithSAML`,, atau yang dibuat identitas pengguna jika menggunakan peran untuk mengambil peran lain, yang dikenal sebagai [rantai peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining). `sourceIdentity`ditemukan di `requestParameters` blok AWS STS panggilan.
+ API AWS layanan memanggil identitas pengguna yang dibuat saat mengambil peran dan menggunakan kredenal sementara yang ditetapkan oleh. AWS STS Dalam peristiwa API layanan`sourceIdentity`, ditemukan di `sessionContext` blok. Misalnya, jika identitas pengguna membuat bucket S3 baru, `sourceIdentity` terjadi di `sessionContext` blok `CreateBucket` acara.
Untuk informasi selengkapnya tentang cara mengonfigurasi AWS STS untuk mengumpulkan informasi identitas sumber, lihat [Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html) dalam *Panduan Pengguna IAM*. Untuk informasi selengkapnya tentang AWS STS peristiwa yang dicatat CloudTrail, lihat [Pencatatan panggilan IAM dan AWS STS API AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) di *Panduan Pengguna IAM*.
Berikut ini adalah contoh cuplikan peristiwa yang menunjukkan bidang. `sourceIdentity`
**`requestParameters`Bagian contoh**
Dalam contoh cuplikan peristiwa berikut, pengguna membuat AWS STS `AssumeRole` permintaan, dan menetapkan identitas sumber, diwakili di sini oleh. `{{source-identity-value-set}}` Pengguna mengasumsikan peran yang diwakili oleh peran ARN`arn:aws:iam::123456789012:role/Assumed_Role`. `sourceIdentity`Bidang berada di `requestParameters` blok acara.
```
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"accountId": "123456789012"
},
"eventTime": "2020-04-02T18:20:53Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.64",
"userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
"requestParameters": {
"roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
"roleSessionName": "Test1",
"sourceIdentity": "{{source-identity-value-set}}",
},
```
**`responseElements`Bagian contoh**
Dalam contoh cuplikan peristiwa berikut, pengguna membuat AWS STS `AssumeRole` permintaan untuk mengambil peran bernama`Developer_Role`, dan menetapkan identitas sumber,. `Admin` Pengguna mengasumsikan peran yang diwakili oleh peran ARN`arn:aws:iam::111122223333:role/Developer_Role`. `sourceIdentity`Bidang ditampilkan di `responseElements` blok `requestParameters` dan blok acara. Kredensi sementara yang digunakan untuk mengambil peran, string token sesi, dan ID peran yang diasumsikan, nama sesi, dan ARN sesi ditampilkan di `responseElements` blok, bersama dengan identitas sumber.
```
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
"roleSessionName": "Session_Name",
"sourceIdentity": "Admin"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"expiration": "Jan 22, 2021 12:46:28 AM",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz"
},
"assumedRoleUser": {
"assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
},
"sourceIdentity": "Admin"
}
...
```
**`sessionContext`Bagian contoh**
Dalam contoh cuplikan peristiwa berikut, pengguna mengasumsikan peran bernama `DevRole` untuk memanggil API layanan. AWS Pengguna menetapkan identitas sumber, diwakili di sini oleh{{source-identity-value-set}}. `sourceIdentity`Bidang ada di `sessionContext` blok, di dalam `userIdentity` blok acara.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
"arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAJ45Q7YFFAREXAMPLE",
"arn": "arn: aws: iam: : 123456789012: role/DevRole",
"accountId": "123456789012",
"userName": "DevRole"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-02-21T23: 46: 28Z"
},
"sourceIdentity": "{{source-identity-value-set}}"
}
}
}
```