Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CloudTrail userIdentity elemento
AWS Identity and Access Management (IAM) fornisce diversi tipi di identità. L'userIdentity
elemento contiene dettagli sul tipo di IAM identità che ha effettuato la richiesta e quali credenziali sono state utilizzate. Se sono state utilizzate credenziali temporanee, l'elemento mostra il modo in cui tali credenziali sono state ottenute.
Indice
Esempi
userIdentity
con credenziali utente IAM
L'esempio seguente mostra l'userIdentity
elemento di una richiesta semplice effettuata con le credenziali dell'IAMutente denominato. Alice
"userIdentity": { "type": "IAMUser", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "", "userName": "Alice" }
userIdentity
con credenziali di sicurezza temporanee
L'esempio seguente mostra un userIdentity
elemento per una richiesta effettuata con credenziali di sicurezza temporanee ottenute assumendo un ruolo. IAM L'elemento contiene ulteriori dettagli sul ruolo assunto per ottenere le credenziali.
"userIdentity": { "type": "AssumedRole", "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName", "accountId": "123456789012", "accessKeyId": "", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIDPPEZS35WEXAMPLE", "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed", "accountId": "123456789012", "userName": "RoleToBeAssumed" }, "attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" ) } }
userIdentity
per una richiesta effettuata per conto di un utente dell'IAMIdentity Center
L'esempio seguente mostra un userIdentity
elemento per una richiesta effettuata per conto di un utente di IAM Identity Center.
"userIdentity": { "type": "IdentityCenterUser", "accountId": "123456789012", "onBehalfOf": { "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1", "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7" }, "credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE" }
Campi
In un elemento userIdentity
possono essere visualizzati i seguenti campi.
type
-
Tipo dell'identità. I valori possibili sono i seguenti:
-
Root
— La richiesta è stata effettuata con Account AWS le tue credenziali. Se il tipo diuserIdentity
èRoot
e imposti un alias per il tuo account, il campouserName
conterrà l'alias del tuo account. Per ulteriori informazioni, consulta ID account Account AWS e relativo alias. -
IAMUser
— La richiesta è stata effettuata con le credenziali di un IAM utente. -
AssumedRole
— La richiesta è stata effettuata con credenziali di sicurezza temporanee ottenute con un ruolo effettuando una chiamata a AWS Security Token Service ()AWS STS.AssumeRole
API Ciò può includere ruoli per Amazon EC2 e API accesso tra account. -
Role
— La richiesta è stata effettuata con un'IAMidentità persistente con autorizzazioni specifiche. L'emittente delle sessioni di ruolo è sempre il ruolo. Per ulteriori informazioni sui ruoli, consulta i termini e i concetti relativi ai ruoli nella Guida per l'IAMutente. -
FederatedUser
— La richiesta è stata effettuata con credenziali di sicurezza temporanee ottenute da una chiamata al AWS STSGetFederationToken
API. L'sessionIssuer
elemento indica se API è stato chiamato con credenziali root o IAM utente.Per ulteriori informazioni sulle credenziali di sicurezza temporanee, vedere Credenziali di sicurezza temporanee nella Guida per l'IAMutente.
-
Directory
- La richiesta è stata effettuata a un servizio directory e il tipo è sconosciuto. I servizi di directory includono: Amazon WorkDocs e Amazon QuickSight. -
AWSAccount
— La richiesta è stata fatta da un altro Account AWS -
AWSService
— La richiesta è stata fatta da un Account AWS uomo che appartiene a un Servizio AWS. Ad esempio, AWS Elastic Beanstalk assume un IAM ruolo nel tuo account per chiamare altre persone per tuo Servizi AWS conto. -
IdentityCenterUser
— La richiesta è stata effettuata per conto di un utente dell'IAMIdentity Center. -
Unknown
— La richiesta è stata effettuata con un tipo di identità che non è CloudTrail possibile determinare.
Optional: False
AWSAccount
eAWSService
compaionotype
nei tuoi registri quando è disponibile un accesso tra più account utilizzando un IAM ruolo di tua proprietà.Esempio: accesso multiaccount avviato da un altro account AWS
-
Hai un IAM ruolo nel tuo account.
-
Un altro AWS account passa a quel ruolo per assumere il ruolo del tuo account.
-
Poiché sei il proprietario del IAM ruolo, ricevi un registro che mostra che l'altro account ha assunto il ruolo. Il valore del campo
type
èAWSAccount
. Per un esempio di immissione nel registro, vedi AWS STS APIevento nel file di CloudTrail registro.
Esempio: accesso tra account diversi avviato da un servizio AWS
-
Hai un IAM ruolo nel tuo account.
-
Un AWS account di proprietà di un AWS servizio assume tale ruolo.
-
Poiché sei il proprietario del IAM ruolo, ricevi un registro che mostra che il AWS servizio ha assunto il ruolo. Il valore del campo
type
èAWSService
.
-
userName
-
Nome descrittivo dell'identità che ha effettuato la chiamata. Il valore visualizzato nel campo
userName
si basa sul valore ditype
. La tabella seguente mostra la relazione tratype
euserName
:type
userName
Descrizione Root
(nessun alias impostato)Non presente Se non hai impostato un alias per il tuo Account AWS, il userName
campo non viene visualizzato. Per ulteriori informazioni sugli alias degli account, vedi Il tuo Account AWS ID e il suo alias. Il campouserName
non può contenereRoot
perchéRoot
è un tipo di identità e non un nome utente.Root
(alias impostato)Alias dell'account Per ulteriori informazioni sugli Account AWS alias, vedi Il tuo Account AWS ID e il suo alias. IAMUser
Il nome utente dell'utente IAM AssumedRole
Non presente Per il AssumedRole
tipo, puoi trovare iluserName
campo insessionContext
come parte dell'sessionIssuerelemento. Per una voce di esempio, consulta Esempi.Role
Definito dall'utente Le sezioni sessionContext
esessionIssuer
contengono informazioni sull'identità che ha creato la sessione per il ruolo.FederatedUser
Non presente Le sezioni sessionContext
esessionIssuer
contengono informazioni sull'identità che ha creato la sessione per l'utente federato.Directory
Può essere presente Ad esempio, il valore può essere l'alias dell'account o l'indirizzo e-mail dell'ID account Account AWS associato. AWSService
Non presente AWSAccount
Non presente IdentityCenterUser
Non presente La onBehalfOf
sezione contiene informazioni sull'ID utente e sull'IAMarchivio di identità dell'Identity Center ARN per cui è stata effettuata la chiamata. Per ulteriori informazioni su IAM Identity Center, consulta la Guida AWS IAM Identity Center per l'utente.Unknown
Può essere presente Ad esempio, il valore può essere l'alias dell'account o l'indirizzo e-mail dell'ID account Account AWS associato. Nota
Il campo
userName
contiene la stringaHIDDEN_DUE_TO_SECURITY_REASONS
quando l'evento registrato corrisponde a un errore di accesso alla console causato dall'immissione errata del nome utente. CloudTrail in questo caso non registra il contenuto perché il testo potrebbe contenere informazioni riservate, come negli esempi seguenti:-
Un utente ha immesso accidentalmente una password nel campo del nome utente.
-
Un utente fa clic sul collegamento della pagina di accesso di un AWS account, ma poi digita il numero di account per un altro account.
-
Un utente immette accidentalmente il nome account di un account e-mail personale, un identificatore di accesso alla banca o a un altro ID privato.
Optional: True
-
principalId
-
Identificatore univoco per l'entità che ha effettuato la chiamata. Per le richieste effettuate con credenziali di sicurezza temporanee, questo valore include il nome della sessione passato alla chiamata
AssumeRole
AssumeRoleWithWebIdentity
, o.GetFederationToken
APIOptional: True
arn
-
L'Amazon Resource Name (ARN) del principale che ha effettuato la chiamata. L'ultima sezione dell'ARN contiene l'utente o il ruolo che ha effettuato la chiamata.
Optional: True
accountId
-
Account che possiede l'entità che ha concesso le autorizzazioni per la richiesta. Se la richiesta è stata effettuata con credenziali di sicurezza temporanee, si tratta dell'account che possiede l'IAMutente o il ruolo utilizzato per ottenere le credenziali.
Se la richiesta è stata effettuata con un token di accesso autorizzato di IAM Identity Center, questo è l'account proprietario dell'istanza di IAM Identity Center.
Optional: True
accessKeyId
-
ID della chiave di accesso utilizzata per firmare la richiesta. Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee, corrisponde all'ID della chiave di accesso delle credenziali temporanee. Per motivi di sicurezza,
accessKeyId
potrebbe non essere presente o potrebbe essere visualizzato come una stringa vuota.Optional: True
sessionContext
-
Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee,
sessionContext
fornisce informazioni sulla sessione creata per tali credenziali. Si crea una sessione quando si chiama una sessione API che restituisce credenziali temporanee. Gli utenti creano anche sessioni quando lavorano nella console ed effettuano richieste APIs che includono l'autenticazione a più fattori. I seguenti attributi possono essere visualizzati insessionContext
:-
sessionIssuer
— Se un utente effettua una richiesta con credenziali di sicurezza temporanee,sessionIssuer
fornisce informazioni su come l'utente ha ottenuto le credenziali. Ad esempio, se le credenziali di sicurezza temporanee sono state ottenute mediante l'assunzione di un ruolo, questo elemento fornisce informazioni sul ruolo assunto. Se ha ottenuto credenziali con credenziali root o IAM utente da chiamare AWS STSGetFederationToken
, l'elemento fornisce informazioni sull'account o sull'utente root. IAM Questo elemento ha i seguenti attributi:-
type
- L'origine delle credenziali di sicurezza temporanee, ad esempioRoot
,IAMUser
oRole
. -
userName
- Il nome descrittivo dell'utente o del ruolo che ha creato la sessione. Il valore visualizzato dipende dal valore dell'identitàsessionIssuer
type
. La tabella seguente mostra la relazione trasessionIssuer type
euserName
:sessionIssuer
tipouserName
Descrizione Root
(nessun alias impostato)Non presente Se non hai configurato un alias per il tuo account, il campo userName
non viene visualizzato. Per ulteriori informazioni sugli Account AWS alias, consulta Your Account AWS ID e relativo alias. Il campouserName
non può contenereRoot
perchéRoot
è un tipo di identità e non un nome utente.Root
(alias impostato)Alias dell'account Per ulteriori informazioni sugli Account AWS alias, vedi L'ID AWS dell'account e il relativo alias. IAMUser
Il nome utente dell'utente IAM Valido anche quando un utente federato utilizza una sessione creata da IAMUser
.Role
Nome del ruolo Un ruolo assunto da un IAM utente o da un utente federato con identità Web in una sessione di ruolo. Servizio AWS -
principalId
: l'ID interno dell'entità utilizzata per ottenere le credenziali. -
arn
— L'ARNorigine (account, IAM utente o ruolo) utilizzata per ottenere le credenziali di sicurezza temporanee. -
accountId
- L'account proprietario dell'entità utilizzata per ottenere le credenziali.
-
-
webIdFederationData
— Se la richiesta è stata effettuata con credenziali di sicurezza temporanee ottenute tramite Web Identity Federation,webIdFederationData
elenca le informazioni sul provider di identità.Questo elemento ha i seguenti attributi:
-
federatedProvider
- Il nome entità del provider di identità (ad esempio,www.amazon.com
per Login with Amazon oaccounts.google.com
per Google). -
attributes
- L'ID applicazione e l'ID utente forniti dal provider (ad esempio,www.amazon.com:app_id
ewww.amazon.com:user_id
per Login with Amazon).
Nota
L'omissione di questo campo o la presenza di questo campo con un valore vuoto indica che non ci sono informazioni sul provider di identità.
-
-
creationDate
- La data e l'ora in cui le credenziali di sicurezza temporanee sono state generate. Rappresentato nella notazione di base ISO 8601. -
mfaAuthenticated
— Il valore ètrue
se l'utente root o l'IAMutente che ha utilizzato le proprie credenziali per la richiesta si è autenticato anche con un MFA dispositivo; in caso contrario,.false
-
sourceIdentity
- Consulta AWS STS identità di origine in questo argomento. IlsourceIdentity
campo si verifica negli eventi in cui gli utenti assumono un IAM ruolo per eseguire un'azione.sourceIdentity
identifica l'identità originale dell'utente che effettua la richiesta, indipendentemente dal fatto che l'identità dell'utente sia un IAM utente, un IAM ruolo, un utente autenticato tramite la federazione SAML basata su una federazione di identità web conforme a OpenID Connect OIDC (). Per ulteriori informazioni sulla configurazione per la raccolta delle informazioni sull'identità AWS STS di origine, consulta Monitoraggio e controllo delle azioni intraprese con i ruoli assunti nella Guida per l'utente. IAM -
ec2RoleDelivery
— Il valore è1.0
se le credenziali sono state fornite da Amazon EC2 Instance Metadata Service versione 1 ()IMDSv1. Il valore è2.0
se le credenziali sono state fornite utilizzando il nuovo schema. IMDSAWS le credenziali fornite da Amazon EC2 Instance Metadata Service (IMDS) includono una chiave di contesto ec2: RoleDelivery IAM. Questa chiave di contesto semplifica l'applicazione del nuovo schema su resource-by-resource base service-by-service OR utilizzando la chiave di contesto come condizione nelle IAM politiche, nelle politiche delle risorse o AWS Organizations nelle politiche di controllo dei servizi. Per ulteriori informazioni, consulta Metadati dell'istanza e dati utente nella Amazon EC2 User Guide.
Optional: True
-
invokedBy
-
Il nome di chi Servizio AWS ha effettuato la richiesta, quando una richiesta viene effettuata da un soggetto Servizio AWS come Amazon EC2 Auto Scaling o. AWS Elastic Beanstalk Questo campo è presente solo quando una richiesta viene effettuata da un Servizio AWS. Ciò include le richieste effettuate dai servizi che utilizzano sessioni di accesso diretto (FAS), Servizio AWS principals, ruoli collegati ai servizi o ruoli di servizio utilizzati da un. Servizio AWS
Optional: True
onBehalfOf
-
Se la richiesta è stata effettuata da un chiamante di IAM Identity Center,
onBehalfOf
fornisce informazioni sull'ID utente dell'IAMIdentity Center e sull'archivio di identità ARN per cui è stata effettuata la chiamata. Questo elemento ha i seguenti attributi:-
userId
— L'ID dell'utente dell'IAMIdentity Center per il quale è stata effettuata la chiamata. -
identityStoreArn
— L'archivio ARN di IAM identità dell'Identity Center per cui è stata effettuata la chiamata per conto.
Optional: True
-
credentialId
-
L'ID delle credenziali per la richiesta. Viene impostato solo quando il chiamante utilizza un token al portatore, ad esempio un token di accesso autorizzato di IAM Identity Center.
Optional: True
Valori per AWS STS APIs with SAML e web identity federation
AWS CloudTrail supporta le API chiamate logging AWS Security Token Service (AWS STS) effettuate con Security Assertion Markup Language (SAML) e la federazione delle identità web. Quando un utente effettua una chiamata verso la rete AssumeRoleWithSAML
AssumeRoleWithWebIdentity
APIs, CloudTrail registra la chiamata e invia l'evento al tuo bucket Amazon S3.
L'userIdentity
elemento corrispondente APIs contiene i seguenti valori.
type
-
Tipo di identità.
-
SAMLUser
— La richiesta è stata fatta con SAML asserzione. -
WebIdentityUser
- La richiesta è stata effettuata da un provider di federazioni di identità Web.
-
principalId
-
Identificatore univoco per l'entità che ha effettuato la chiamata.
-
Per
SAMLUser
, corrisponde a una combinazione delle chiavisaml:namequalifier
esaml:sub
. -
Per
WebIdentityUser
, corrisponde a una combinazione di approvatore, ID applicazione e ID utente.
-
userName
-
Nome dell'identità che ha effettuato la chiamata.
-
Per
SAMLUser
, corrisponde alla chiavesaml:sub
. -
Per
WebIdentityUser
, corrisponde all'ID utente.
-
identityProvider
-
Nome entità del provider di identità esterne. Questo campo viene visualizzato solo per i tipi
SAMLUser
oWebIdentityUser
.-
Perché
SAMLUser
, questa è lasaml:namequalifier
chiave per l'SAMLaffermazione. -
Per
WebIdentityUser
, corrisponde al nome approvatore del provider di federazioni di identità Web. Può essere un provider che hai configurato, ad esempio:-
cognito-identity.amazon.com
per Amazon Cognito -
www.amazon.com
per Login with Amazon -
accounts.google.com
per Google -
graph.facebook.com
per Facebook
-
-
Di seguito è illustrato un elemento userIdentity
di esempio per l'operazione AssumeRoleWithWebIdentity
.
"userIdentity": { "type": "WebIdentityUser", "principalId": "accounts.google.com:
application-id
.apps.googleusercontent.com:user-id
", "userName": "user-id
", "identityProvider": "accounts.google.com" }
Ad esempio, i registri di come l'userIdentity
elemento appare SAMLUser
e i WebIdentityUser
tipi, vedi Registrazione IAM e AWS STS API chiamate con. AWS CloudTrail
AWS STS identità di origine
Un IAM amministratore può configurare la configurazione AWS Security Token Service in modo da richiedere agli utenti di specificare la propria identità quando utilizzano credenziali temporanee per assumere ruoli. Il sourceIdentity
campo si verifica negli eventi in cui gli utenti assumono un IAM ruolo o eseguono azioni con il ruolo assunto.
Il sourceIdentity
campo identifica l'identità originale dell'utente che effettua la richiesta, indipendentemente dal fatto che l'identità dell'IAMutente sia un utente, un IAM ruolo, un utente autenticato utilizzando la federazione SAML basata sulla federazione di identità web conforme a OpenID Connect OIDC (). Dopo la configurazione, l'IAMamministratore CloudTrail registra le sourceIdentity
informazioni nei AWS STS seguenti eventi e luoghi all'interno del record dell'evento:
-
Le
AssumeRoleWithWebIdentity
chiamate AWS STSAssumeRole
AssumeRoleWithSAML
, o eseguite da un'identità utente quando assume un ruolo.sourceIdentity
si trova nelrequestParameters
blocco delle AWS STS chiamate. -
Le
AssumeRoleWithWebIdentity
chiamate AWS STSAssumeRole
AssumeRoleWithSAML
, or eseguite da un'identità utente se utilizza un ruolo per assumere un altro ruolo, noto come concatenamento dei ruoli.sourceIdentity
si trova nelrequestParameters
blocco delle AWS STS chiamate. -
Il AWS servizio effettua API le chiamate effettuate dall'identità dell'utente assumendo un ruolo e utilizzando le credenziali temporanee assegnate da. AWS STS Negli API eventi di servizio,
sourceIdentity
si trova nelsessionContext
blocco. Ad esempio, se un'identità utente crea un nuovo bucket S3,sourceIdentity
si verifica nel bloccosessionContext
dell'eventoCreateBucket
.
Per ulteriori informazioni su come configurare AWS STS la raccolta delle informazioni sull'identità di origine, consulta Monitoraggio e controllo delle azioni intraprese con i ruoli assunti nella Guida per l'IAMutente. Per ulteriori informazioni sugli AWS STS eventi registrati CloudTrail, vedere Registrazione IAM e AWS STS API chiamate con AWS CloudTrail nella Guida per l'IAMutente.
Di seguito sono riportati frammenti di esempio di eventi che mostrano il campo sourceIdentity
.
Sezione di esempio requestParameters
Nel frammento di evento di esempio seguente, un utente effettua una AWS STS AssumeRole
richiesta e imposta un'identità di origine, qui rappresentata da.
L'utente assume un ruolo rappresentato dal ruolo. ARN source-identity-value-set
arn:aws:iam::123456789012:role/Assumed_Role
Il campo sourceIdentity
è presente nel blocco requestParameters
dell'evento.
"eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "accountId": "123456789012" }, "eventTime": "2020-04-02T18:20:53Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRole", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.64", "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86", "requestParameters": { "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role", "roleSessionName": "Test1", "sourceIdentity": "
source-identity-value-set
", },
Sezione di esempio responseElements
Nel frammento di evento di esempio seguente, un utente AWS STS AssumeRole
richiede di assumere un ruolo denominato e imposta un'identità di origineDeveloper_Role
,. Admin
L'utente assume un ruolo rappresentato dal ruolo. ARN arn:aws:iam::111122223333:role/Developer_Role
Il campo sourceIdentity
è presente nel blocco requestParameters
e responseElements
dell'evento. Le credenziali temporanee utilizzate per assumere il ruolo, la stringa del token di sessione e l'ID del ruolo, il nome della sessione e la sessione assunti ARN vengono visualizzati nel responseElements
blocco, insieme all'identità di origine.
"requestParameters": { "roleArn": "arn:aws:iam::111122223333:role/Developer_Role", "roleSessionName": "Session_Name", "sourceIdentity": "Admin" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "expiration": "Jan 22, 2021 12:46:28 AM", "sessionToken": "XXYYaz... EXAMPLE_SESSION_TOKEN XXyYaZAz" }, "assumedRoleUser": { "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name", "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name" }, "sourceIdentity": "Admin" } ...
Sezione di esempio sessionContext
Nel frammento di evento di esempio seguente, un utente assume un ruolo denominato DevRole
per chiamare un servizio. AWS API L'utente imposta un'identità di origine, qui rappresentata da source-identity-value-set
. Il sourceIdentity
campo si trova nel sessionContext
blocco, all'interno del userIdentity
blocco dell'evento.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1", "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAJ45Q7YFFAREXAMPLE", "arn": "arn: aws: iam: : 123456789012: role/DevRole", "accountId": "123456789012", "userName": "DevRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-02-21T23: 46: 28Z" }, "sourceIdentity": "
source-identity-value-set
" } } }