Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Tieni traccia delle attività privilegiate in AWS CloudTrail L'account di AWS Organizations gestione o un account amministratore delegato per IAM può eseguire alcune attività degli utenti root sugli account dei membri utilizzando l'accesso root a breve termine. Le sessioni con privilegi a breve termine forniscono credenziali temporanee utilizzabili per [intraprendere azioni con privilegi](id_root-user-privileged-task.md) su un account membro dell'organizzazione. È possibile utilizzare i passaggi seguenti per identificare le azioni intraprese dall'account di gestione o da un amministratore delegato durante la sessione [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html). **Nota** L'endpoint globale non è supportato per. `sts:AssumeRoot` CloudTrail registra `ConsoleLogin` gli eventi nella regione specificata per l'endpoint. **Per tenere traccia delle azioni eseguite da una sessione privilegiata nei log CloudTrail** 1. Trova l'`AssumeRoot`evento nei tuoi CloudTrail registri. Questo evento viene generato quando l'account di gestione o l'amministratore delegato di IAM riceve una serie di credenziali a breve termine da `sts:AssumeRoot`. Nell'esempio seguente, l' CloudTrail evento for AssumeRoot viene registrato nel `eventName` campo. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1", "arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1", "accountId": "111111111111", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:role/John", "accountId": "111111111111", "userName": "Admin2" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-10-25T20:45:28Z", "mfaAuthenticated": "false" }, "assumedRoot": "true" } }, "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "222222222222", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } } ``` Per la procedura di accesso ai CloudTrail registri, consulta Acquisizione [e visualizzazione dei file di CloudTrail registro nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) per l'*AWS CloudTrail utente*. 1. Nel registro degli CloudTrail eventi, individua il file `targetPrincipal` che specifica le azioni eseguite sull'account membro e `accessKeyId` che è unico per la `AssumeRoot` sessione. Nell'esempio seguente, `targetPrincipal` è 222222222222 e il è EXAMPLE`accessKeyId`. ASIAIOSFODNN7 ``` "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "222222222222", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } ``` 1. Nei CloudTrail log del principale di destinazione, cercate l'ID della chiave di accesso che corrisponde al `accessKeyId` valore dell'evento. `AssumeRoot` Utilizza i valori del campo `eventName` per determinare le attività con privilegi eseguite durante la sessione `AssumeRoot`. È possibile che vengano eseguite più attività con privilegi in una singola sessione. La durata massima della sessione per `AssumeRoot` è 900 secondi (15 minuti). Nell'esempio seguente, l'account di gestione o l'amministratore delegato ha eliminato la policy basata sulle risorse per un bucket Amazon S3. ``` { "eventVersion": "1.10", "userIdentity": { "type": "Root", "principalId": "222222222222", "arn": "arn:aws:iam::222222222222:root", "accountId": "222222222222", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "creationDate": "2024-10-25T20:52:11Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-10-25T20:53:47Z", "eventSource": "s3.amazonaws.com", "eventName": "DeleteBucketPolicy", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "bucketName": "resource-policy-John", "Host": "resource-policy-John.s3.amazonaws.com", "policy": "" }, "responseElements": null, "requestID": "1234567890abcdef0", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "readOnly": false, "resources": [ { "accountId": "222222222222", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::resource-policy-John" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "222222222222", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "resource-policy-John.s3.amazonaws.com" } } ```