Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# CloudTrail elemento userIdentity
AWS Identity and Access Management (IAM) fornisce diversi tipi di identità. L'elemento `userIdentity` include dettagli sul tipo di identità IAM che ha effettuato la richiesta e sulle credenziali utilizzate. Se sono state utilizzate credenziali temporanee, l'elemento mostra il modo in cui tali credenziali sono state ottenute.
**Contents**
+ [Esempi](#cloudtrail-event-reference-user-identity-examples)
+ [Campi](#cloudtrail-event-reference-user-identity-fields)
+ [Valori per AWS STS APIs con SAML e la federazione delle identità web](#STS-API-SAML-WIF)
+ [AWS STS identità di origine](#STS-API-source-identity)
## Esempi
**`userIdentity` con credenziali utente IAM**
L'esempio seguente mostra l'elemento `userIdentity` di una semplice richiesta effettuata con le credenziali dell'utente IAM denominato `Alice`.
```
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "Alice"
}
```
**`userIdentity` con credenziali di sicurezza temporanee**
L'esempio seguente mostra un elemento `userIdentity` per una richiesta effettuata con le credenziali di sicurezza temporanee ottenute mediante l'assunzione del ruolo IAM. L'elemento contiene ulteriori dettagli sul ruolo assunto per ottenere le credenziali.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "123456789012",
"accessKeyId": "",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIDPPEZS35WEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "20131102T010628Z"
}
}
}
```
**`userIdentity` per una richiesta effettuata per conto di un utente del Centro identità IAM**
L'esempio seguente mostra un elemento `userIdentity` per una richiesta effettuata per conto di un utente del Centro identità IAM.
```
"userIdentity": {
"type": "IdentityCenterUser",
"accountId": "123456789012",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7"
},
"credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}
```
Per ulteriori informazioni su come utilizzare e `userId` `identityStoreArn``credentialId`, consulta [Identificazione dell'utente e della sessione negli CloudTrail eventi avviati dall'utente di IAM Identity Center nella Guida per l'utente](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html#user-session-iam-identity-center) di *IAM Identity Center*.
**`userIdentity`con richiesta avviata dal fornitore del prodotto**
Tutte le azioni eseguite dai fornitori di prodotti che utilizzano l'accesso delegato temporaneo vengono registrate automaticamente. CloudTrail Ciò garantisce la visibilità e la verificabilità complete dell'attività dei fornitori di prodotti nell'account dell'utente. AWS Puoi identificare quali azioni sono state intraprese dai fornitori di prodotti, quando si sono verificate e quale account del fornitore di prodotti le ha eseguite.
Per aiutarvi a distinguere tra le azioni intraprese dai vostri responsabili IAM e quelle intraprese dai fornitori di prodotti con accesso delegato, CloudTrail gli eventi includono un nuovo campo chiamato `invokedByDelegate` sotto l'`userIdentity`elemento. Questo campo contiene l'ID dell' AWS account del fornitore del prodotto, semplificando il filtraggio e il controllo di tutte le azioni delegate.
L'esempio seguente mostra un `userIdentity` elemento per un'azione eseguita da un fornitore di prodotti utilizzando l'accesso delegato temporaneo.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAI...",
"arn": "arn:aws:sts::123456789012:assumed-role/Alice/Session",
"accountId": "123456789012",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAI...",
"arn": "arn:aws:iam::123456789012:role/Alice",
"accountId": "123456789012",
"userName": "Alice"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "20131102T010628Z"
}
},
"invokedByDelegate": {
"accountId": "999999999999"
}
}
```
Il `invokedByDelegate` campo contiene l'ID AWS account del fornitore del prodotto che ha eseguito l'azione utilizzando l'accesso delegato. In questo esempio, l'account 9999 (il fornitore del prodotto) ha eseguito un'azione nell'account 123456789012 (l'account cliente).
## Campi
In un elemento `userIdentity` possono essere visualizzati i seguenti campi.
**`type`**
Tipo dell'identità. I valori possibili sono i seguenti:
+ `Root`— La richiesta è stata effettuata con le tue credenziali. Account AWS Se il tipo di `userIdentity` è `Root` e imposti un alias per il tuo account, il campo `userName` conterrà l'alias del tuo account. Per ulteriori informazioni, consulta [ID account Account AWS e relativo alias](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html).
+ `IAMUser` – La richiesta è stata effettuata con le credenziali di un utente IAM.
+ `AssumedRole` – La richiesta è stata effettuata con le credenziali di sicurezza temporanee ottenute con un ruolo tramite una chiamata all'API AWS Security Token Service (AWS STS)[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html). Ciò può includere [ruoli per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) e accesso alle API tra account.
+ `Role` – La richiesta è stata effettuata con un'identità IAM persistente che dispone delle autorizzazioni specifiche. L'emittente delle sessioni di ruolo è sempre il ruolo. Per ulteriori informazioni sui ruoli consulta [Termini e concetti dei ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) nella *Guida per l'utente IAM*.
+ `FederatedUser`— La richiesta è stata effettuata con credenziali di sicurezza temporanee ottenute da una chiamata all'API. AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) L'elemento `sessionIssuer` indica se l'API è stata chiamata con le credenziali dell'utente root o con quelle dell'utente IAM.
Per ulteriori informazioni sulle credenziali di sicurezza temporanee, consulta la sezione relativa alle [credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) nella *Guida per l'utente IAM*.
+ `Directory` - La richiesta è stata effettuata a un servizio directory e il tipo è sconosciuto. I servizi di directory includono: Amazon WorkDocs e Amazon Quick.
+ `AWSAccount`— La richiesta è stata fatta da un altro Account AWS
+ `AWSService`— La richiesta è stata fatta da un Account AWS uomo che appartiene a un Servizio AWS. Ad esempio, AWS Elastic Beanstalk presuppone un ruolo IAM nel tuo account per chiamare altre persone per tuo Servizi AWS conto.
+ `IdentityCenterUser`: la richiesta è stata effettuata per conto di un utente del Centro identità IAM
+ `Unknown`— La richiesta è stata effettuata con un tipo di identità che non è CloudTrail possibile determinare.
**Optional:** False
Vengono visualizzati i valori `AWSAccount` e `AWSService` nel campo `type` dei log in caso di accesso tra più account tramite un ruolo IAM di tua proprietà.
**Esempio: accesso tra più account avviato da un altro account AWS**
1. Tu sei il proprietario di un ruolo IAM nel tuo account.
1. Un altro AWS account passa a quel ruolo per assumere il ruolo del tuo account.
1. Poiché sei il proprietario del ruolo IAM, riceverai un log che mostra l'altro account che ha assunto il ruolo. Il valore del campo `type` è `AWSAccount`. Per un esempio di immissione di registro, consulta [AWS STS l'evento API nel file di CloudTrail registro](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample).
**Esempio: accesso tra account diversi avviato da un servizio AWS**
1. Tu sei il proprietario di un ruolo IAM nel tuo account.
1. Un AWS account di proprietà di un AWS servizio assume tale ruolo.
1. Poiché sei il proprietario del ruolo IAM, riceverai un log che mostra il servizio AWS che ha assunto il ruolo. Il valore del campo `type` è `AWSService`.
**`userName`**
Nome descrittivo dell'identità che ha effettuato la chiamata. Il valore visualizzato nel campo `userName` si basa sul valore di `type`. La tabella seguente mostra la relazione tra `type` e `userName`:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
Il campo `userName` contiene la stringa `HIDDEN_DUE_TO_SECURITY_REASONS` quando l'evento registrato corrisponde a un errore di accesso alla console causato dall'immissione errata del nome utente. In questo caso CloudTrail non registra i contenuti perché il testo potrebbe contenere informazioni sensibili, come negli esempi seguenti:
+ Un utente ha immesso accidentalmente una password nel campo del nome utente.
+ Un utente fa clic sul collegamento della pagina di accesso di un AWS account, ma poi digita il numero di account per un altro.
+ Un utente immette accidentalmente il nome account di un account e-mail personale, un identificatore di accesso alla banca o a un altro ID privato.
**Optional:** True
**`principalId`**
Identificatore univoco per l'entità che ha effettuato la chiamata. Per le richieste effettuate con le credenziali di sicurezza temporanee, questo valore include il nome di sessione passato alla chiamata API `AssumeRole`, `AssumeRoleWithWebIdentity`o `GetFederationToken`.
**Optional:** True
**`arn`**
ARN (Amazon Resource Name) dell'entità che ha effettuato la chiamata. L'ultima sezione dell'ARN contiene l'utente o il ruolo che ha effettuato la chiamata.
**Optional:** True
**`accountId`**
Account che possiede l'entità che ha concesso le autorizzazioni per la richiesta. Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee, corrisponde all'account proprietario dell'utente o del ruolo IAM utilizzato per ottenere le credenziali.
Se la richiesta è stata effettuata con un token di accesso autorizzato del Centro identità IAM, questo è l'account proprietario dell'istanza del Centro identità IAM.
**Optional:** True
**`accessKeyId`**
ID della chiave di accesso utilizzata per firmare la richiesta. Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee, corrisponde all'ID della chiave di accesso delle credenziali temporanee. Per motivi di sicurezza, `accessKeyId` potrebbe non essere presente o potrebbe essere visualizzato come una stringa vuota.
**Optional:** True
**`sessionContext`**
Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee, `sessionContext` fornisce informazioni sulla sessione creata per tali credenziali. Le sessioni vengono create quando viene chiamata una qualsiasi API che restituisce le credenziali temporanee. Gli utenti creano anche sessioni quando lavorano nella console ed effettuano richieste APIs che includono l'autenticazione a [più](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) fattori. I seguenti attributi possono essere visualizzati in`sessionContext`:
+ `sessionIssuer`— Se un utente effettua una richiesta con credenziali di sicurezza temporanee, `sessionIssuer` fornisce informazioni su come l'utente ha ottenuto le credenziali. Ad esempio, se le credenziali di sicurezza temporanee sono state ottenute mediante l'assunzione di un ruolo, questo elemento fornisce informazioni sul ruolo assunto. Se le credenziali sono state ottenute con credenziali root o dell'utente IAM per effettuare la chiamata a AWS STS `GetFederationToken`, l'elemento fornisce informazioni sull'account root o sull'utente IAM. Questo elemento ha i seguenti attributi:
+ `type` - L'origine delle credenziali di sicurezza temporanee, ad esempio `Root`,`IAMUser` o `Role`.
+ `userName` - Il nome descrittivo dell'utente o del ruolo che ha creato la sessione. Il valore visualizzato dipende dal valore dell'identità `sessionIssuer` `type`. La tabella seguente mostra la relazione tra `sessionIssuer type` e `userName`:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
+ `principalId`: l'ID interno dell'entità utilizzata per ottenere le credenziali.
+ `arn` - L'ARN dell'origine (account, utente IAM o ruolo) utilizzata per ottenere le credenziali di sicurezza temporanee.
+ `accountId` - L'account proprietario dell'entità utilizzata per ottenere le credenziali.
+ `webIdFederationData`— Se la richiesta è stata effettuata con credenziali di sicurezza temporanee ottenute dalla [federazione delle identità web](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html), `webIdFederationData` elenca le informazioni sul provider di identità.
Questo elemento ha i seguenti attributi:
+ `federatedProvider` - Il nome entità del provider di identità (ad esempio, `www.amazon.com` per Login with Amazon o `accounts.google.com` per Google).
+ `attributes` - L'ID applicazione e l'ID utente forniti dal provider (ad esempio, `www.amazon.com:app_id` e `www.amazon.com:user_id` per Login with Amazon).
**Nota**
L'omissione di questo campo o la presenza di questo campo con un valore vuoto indica che non ci sono informazioni sul provider di identità.
+ `assumedRoot`— Il valore si riferisce `true` a una sessione temporanea quando un account di gestione o un amministratore delegato chiama. AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html) Per ulteriori informazioni, consulta [Track Privileged Tasks CloudTrail nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-track-privileged-tasks.html) *IAM User Guide*. Questo campo è opzionale.
+ `attributes`— Gli attributi della sessione.
+ `creationDate` - La data e l'ora in cui le credenziali di sicurezza temporanee sono state generate. Valore rappresentato nella notazione di base ISO 8601.
+ `mfaAuthenticated`: il valore è `true` se anche l'utente root o l'utente IAM le cui credenziali sono state utilizzate per la richiesta è stato autenticato con un dispositivo MFA. In caso contrario, il valore è `false`.
+ `sourceIdentity` - Consulta [AWS STS identità di origine](#STS-API-source-identity) in questo argomento. Il campo `sourceIdentity` è presente negli eventi in cui gli utenti assumono un ruolo IAM per eseguire un'azione. `sourceIdentity` identifica l'identità dell'utente originale che effettua la richiesta, indipendentemente dal fatto che l'identità dell'utente sia un utente IAM, un ruolo IAM, un utente autenticato utilizzando la federazione basata su SAML o un utente autenticato utilizzando la federazione delle identità Web compatibile con OpenID Connect (OIDC). Per ulteriori informazioni sulla configurazione AWS STS per la raccolta delle informazioni sull'identità di origine, consulta [Monitoraggio e controllo delle azioni intraprese con i ruoli assunti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html) nella *Guida per l'utente IAM*.
+ `ec2RoleDelivery`— Il valore è `1.0` se le credenziali sono state fornite da Amazon EC2 Instance Metadata Service versione 1 (). IMDSv1 Il valore è `2.0` se le credenziali sono state fornite utilizzando il nuovo schema di IMDS.
AWS le credenziali fornite da Amazon EC2 Instance Metadata Service (IMDS) includono una chiave di contesto RoleDelivery ec2: IAM. Questa chiave di contesto semplifica l'applicazione del nuovo schema su resource-by-resource base service-by-service OR utilizzando la chiave di contesto come condizione nelle politiche IAM, nelle politiche delle risorse o nelle politiche di controllo dei servizi. AWS Organizations Per ulteriori informazioni, consulta [Metadati e dati dell'utente delle istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) nella *Guida per l'utente di Amazon EC2*.
**Optional:** True
**`invokedBy`**
Il nome di chi Servizio AWS ha effettuato la richiesta, quando una richiesta viene effettuata da un soggetto Servizio AWS come Amazon EC2 Auto AWS Elastic Beanstalk Scaling o. Questo campo è presente solo quando una richiesta viene effettuata da un. Servizio AWS Ciò include le richieste effettuate dai servizi che utilizzano sessioni di accesso inoltrato (FAS), Servizio AWS principali, ruoli collegati ai servizi o ruoli di servizio utilizzati da un. Servizio AWS
**Optional:** True
**`invokedByDelegate`**
Tiene traccia delle richieste effettuate dai fornitori di prodotti utilizzando l'accesso delegato temporaneo nel tuo account. AWS Questo campo viene visualizzato solo quando un fornitore di prodotti avvia una richiesta API utilizzando autorizzazioni delegate. Se presente, `invokedByDelegate` fornisce informazioni sull'account del fornitore del prodotto che ha effettuato la richiesta. Questo elemento ha il seguente attributo:
+ `accountId`— L'ID dell' AWS account del fornitore del prodotto che ha avviato la richiesta.
*Per ulteriori informazioni e un esempio JSON di accesso delegato negli CloudTrail eventi, consulta le [CloudTrail voci relative alle credenziali di sicurezza temporanee nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/temporary-delegation-cloudtrail.html) l'utente IAM.*
**Optional:** True
**`onBehalfOf`**
Se la richiesta è stata effettuata da un chiamante del Centro identità IAM, `onBehalfOf` fornisce informazioni sull'ID utente del Centro identità IAM e sull'ARN dell'archivio di identità per cui è stata effettuata la chiamata. Questo elemento ha i seguenti attributi:
+ `userId`: l'ID dell'utente del Centro identità IAM per cui è stata effettuata la chiamata.
+ `identityStoreArn`: l'ARN dell'archivio di identità del Centro identità IAM per cui è stata effettuata la chiamata.
**Optional:** True
**`inScopeOf`**
Se la richiesta è stata effettuata nell'ambito di un Servizio AWS, ad esempio Lambda o Amazon ECS, fornisce informazioni sulla risorsa o sulle credenziali relative alla richiesta. Questo elemento può contenere i seguenti attributi:
+ `sourceArn`— L'ARN della risorsa che ha richiamato la richiesta. service-to-service
+ `sourceAccount`— L'ID dell'account proprietario per. `sourceArn` Viene visualizzato insieme a`sourceArn`.
+ `issuerType`— Il tipo di risorsa di`credentialsIssuedTo`. Ad esempio, `AWS::Lambda::Function`.
+ `credentialsIssuedTo`— La risorsa relativa all'ambiente in cui sono state emesse le credenziali.
**Optional:** True
**`credentialId`**
L'ID delle credenziali per la richiesta. Viene impostato solo quando il chiamante utilizza un token portante, ad esempio un token di accesso autorizzato dal Centro identità IAM.
**Optional:** True
## Valori per AWS STS APIs con SAML e la federazione delle identità web
AWS CloudTrail supporta le chiamate API logging AWS Security Token Service (AWS STS) effettuate con Security Assertion Markup Language (SAML) e la federazione delle identità web. Quando un utente effettua una chiamata verso la rete [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) APIs, CloudTrail registra la chiamata e invia l'evento al tuo bucket Amazon S3.
L'`userIdentity`elemento corrispondente APIs contiene i seguenti valori.
**`type`**
Tipo di identità.
+ `SAMLUser` - La richiesta è stata effettuata con un'asserzione SAML.
+ `WebIdentityUser` - La richiesta è stata effettuata da un provider di federazioni di identità Web.
**`principalId`**
Identificatore univoco per l'entità che ha effettuato la chiamata.
+ Per `SAMLUser`, corrisponde a una combinazione delle chiavi `saml:namequalifier` e `saml:sub`.
+ Per `WebIdentityUser`, corrisponde a una combinazione di approvatore, ID applicazione e ID utente.
**`userName`**
Nome dell'identità che ha effettuato la chiamata.
+ Per `SAMLUser`, corrisponde alla chiave `saml:sub`.
+ Per `WebIdentityUser`, corrisponde all'ID utente.
**`identityProvider`**
Nome entità del provider di identità esterne. Questo campo viene visualizzato solo per i tipi `SAMLUser` o `WebIdentityUser`.
+ Per `SAMLUser`, corrisponde alla chiave `saml:namequalifier` per l'asserzione SAML.
+ Per `WebIdentityUser`, corrisponde al nome approvatore del provider di federazioni di identità Web. Può essere un provider che hai configurato, ad esempio:
+ `cognito-identity.amazon.com` per Amazon Cognito
+ `www.amazon.com` per Login with Amazon
+ `accounts.google.com` per Google
+ `graph.facebook.com` per Facebook
Di seguito è illustrato un elemento `userIdentity` di esempio per l'operazione `AssumeRoleWithWebIdentity`.
```
"userIdentity": {
"type": "WebIdentityUser",
"principalId": "accounts.google.com:{{application-id}}.apps.googleusercontent.com:{{user-id}}",
"userName": "{{user-id}}",
"identityProvider": "accounts.google.com"
}
```
Ad esempio, i log di come l'`userIdentity`elemento appare `SAMLUser` e i `WebIdentityUser` tipi, vedi [Registrazione delle chiamate IAM e AWS STS API](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) con. AWS CloudTrail
## AWS STS identità di origine
Un amministratore IAM può configurare la configurazione AWS Security Token Service in modo da richiedere agli utenti di specificare la propria identità quando utilizzano credenziali temporanee per assumere ruoli. Il campo `sourceIdentity` è presente negli eventi in cui gli utenti assumono un ruolo IAM o eseguono azioni con il ruolo assunto.
Il campo `sourceIdentity` identifica l'identità dell'utente originale che effettua la richiesta, indipendentemente dal fatto che l'identità dell'utente sia un utente IAM, un ruolo IAM, un utente autenticato utilizzando la federazione basata su SAML o un utente autenticato utilizzando la federazione delle identità Web compatibile con OpenID Connect (OIDC). Dopo la configurazione AWS STS, l'amministratore IAM CloudTrail registra `sourceIdentity` le informazioni nei seguenti eventi e luoghi all'interno del record dell'evento:
+ Le `AssumeRoleWithWebIdentity` chiamate AWS STS `AssumeRole``AssumeRoleWithSAML`, o eseguite da un'identità utente quando assume un ruolo. `sourceIdentity`si trova nel `requestParameters` blocco delle AWS STS chiamate.
+ Le `AssumeRoleWithWebIdentity` chiamate AWS STS `AssumeRole``AssumeRoleWithSAML`, or eseguite da un'identità utente se utilizza un ruolo per assumere un altro ruolo, noto come [concatenamento dei ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining). `sourceIdentity`si trova nel `requestParameters` blocco delle AWS STS chiamate.
+ L'API AWS di servizio effettua le chiamate effettuate dall'identità dell'utente assumendo un ruolo e utilizzando le credenziali temporanee assegnate da. AWS STS Negli eventi API di servizio, `sourceIdentity` è presente nel blocco `sessionContext`. Ad esempio, se un'identità utente crea un nuovo bucket S3, `sourceIdentity` si verifica nel blocco `sessionContext` dell'evento `CreateBucket`.
Per ulteriori informazioni su come configurare la raccolta di informazioni sull'identità AWS STS di origine, consulta [Monitorare e controllare le azioni intraprese con i ruoli assunti nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html) per l'*utente IAM*. Per ulteriori informazioni sugli AWS STS eventi registrati CloudTrail, consulta [Logging IAM and AWS STS API call with AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) the *IAM User* Guide.
Di seguito sono riportati frammenti di esempio di eventi che mostrano il campo `sourceIdentity`.
**Sezione di esempio `requestParameters` **
Nel seguente esempio di frammento di evento, un utente effettua una AWS STS `AssumeRole` richiesta e imposta un'identità di origine, qui rappresentata da. `{{source-identity-value-set}}` L'utente assume un ruolo rappresentato dal ruolo ARN `arn:aws:iam::123456789012:role/Assumed_Role`. Il campo `sourceIdentity` è presente nel blocco `requestParameters` dell'evento.
```
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"accountId": "123456789012"
},
"eventTime": "2020-04-02T18:20:53Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.64",
"userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
"requestParameters": {
"roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
"roleSessionName": "Test1",
"sourceIdentity": "{{source-identity-value-set}}",
},
```
**Sezione di esempio `responseElements` **
Nel frammento di evento di esempio seguente, un utente AWS STS `AssumeRole` richiede di assumere un ruolo denominato e imposta un'identità di origine`Developer_Role`,. `Admin` L'utente assume un ruolo rappresentato dal ruolo ARN `arn:aws:iam::111122223333:role/Developer_Role`. Il campo `sourceIdentity` è presente nel blocco `requestParameters` e `responseElements` dell'evento. Le credenziali temporanee utilizzate per assumere il ruolo, la stringa del token di sessione e l'ID del ruolo assunto, il nome della sessione e l'ARN della sessione sono mostrati nel blocco `responseElements`, insieme all'identità di origine.
```
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
"roleSessionName": "Session_Name",
"sourceIdentity": "Admin"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"expiration": "Jan 22, 2021 12:46:28 AM",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz"
},
"assumedRoleUser": {
"assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
},
"sourceIdentity": "Admin"
}
...
```
**Sezione di esempio `sessionContext` **
Nel frammento di evento di esempio seguente, un utente assume un ruolo denominato `DevRole` per chiamare un'API di servizio. AWS L'utente imposta un'identità di origine, qui rappresentata da. {{source-identity-value-set}} Il campo `sourceIdentity` è presente nel blocco `sessionContext` dell'evento `userIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
"arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAJ45Q7YFFAREXAMPLE",
"arn": "arn: aws: iam: : 123456789012: role/DevRole",
"accountId": "123456789012",
"userName": "DevRole"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-02-21T23: 46: 28Z"
},
"sourceIdentity": "{{source-identity-value-set}}"
}
}
}
```