CloudTrail userIdentity 요소 - AWS CloudTrail
필드AWS STS APIswith SAML 및 웹 ID 페더레이션의 값AWS STS 소스 아이덴티티

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail userIdentity 요소

AWS Identity and Access Management (IAM) 는 다양한 유형의 ID를 제공합니다. userIdentity요소에는 요청한 IAM ID 유형과 사용된 자격 증명에 대한 세부 정보가 포함됩니다. 임시 자격 증명을 사용하는 경우, 요소는 자격 증명을 획득하는 방법을 보여 줍니다.

userIdentity IAM 사용자 자격 증명을 사용하는

다음 예제는 이름이 지정된 IAM 사용자의 자격 증명으로 이루어진 단순 요청의 userIdentity 요소를 보여줍니다Alice.

"userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDAJ45Q7YFFAREXAMPLE",
    "arn": "arn:aws:iam::123456789012:user/Alice",
    "accountId": "123456789012",
    "accessKeyId": "",
    "userName": "Alice"
}

임시 보안 자격 증명을 사용하는 userIdentity

다음 예제는 IAM 역할을 위임하여 얻은 임시 보안 자격 증명으로 이루어진 요청의 userIdentity 요소를 보여줍니다. 요소에는 자격 증명을 획득한 것으로 간주하는 역할에 대한 추가 세부 정보가 포함됩니다.

"userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
    "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
    "accountId": "123456789012",
    "accessKeyId": "",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAIDPPEZS35WEXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
            "accountId": "123456789012",
            "userName": "RoleToBeAssumed"
        },
        "attributes": {
            "mfaAuthenticated": "false",
            "creationDate": "20131102T010628Z"
        )
      
    }
}

userIdentityIAMIdentity Center 사용자를 대신하여 요청한 경우

다음 예에서는 IAM Identity Center 사용자를 대신하여 이루어진 요청에 대한 userIdentity 요소를 보여 줍니다.

"userIdentity": {
    "type": "IdentityCenterUser",
    "accountId": "123456789012",
    "onBehalfOf": {
        "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
        "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7" 
    },
    "credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}

필드

userIdentity 요소에 보일 수 있는 필드는 다음과 같습니다.

type

자격 증명의 유형입니다. 다음과 같은 값이 가능합니다.

  • Root— 요청은 사용자 AWS 계정 자격 증명으로 이루어졌습니다. userIdentity 유형이 Root이고 계정에 대한 별칭을 설정했다면, userName 필드에 계정 별칭이 포함됩니다. 자세한 내용은 AWS 계정 ID 및 별칭 섹션을 참조하세요.

  • IAMUser— IAM 사용자의 자격 증명으로 요청이 이루어졌습니다.

  • AssumedRole— 요청은 역할과 함께 AWS Security Token Service (AWS STS) 를 호출하여 획득한 임시 보안 자격 증명으로 이루어졌습니다 AssumeRoleAPI. 여기에는 Amazon 역할 EC2 및 계정 간 API 액세스가 포함될 수 있습니다.

  • Role— 특정 권한이 있는 영구 IAM ID로 요청이 이루어졌습니다. 역할 세션의 발행자는 항상 해당 역할입니다. 역할에 대한 자세한 내용은 IAM사용 설명서의 역할 용어 및 개념을 참조하십시오.

  • FederatedUser— 에 대한 호출을 통해 얻은 임시 보안 자격 증명을 사용하여 요청했습니다 AWS STS GetFederationTokenAPI. sessionIssuer요소는 가 루트 또는 IAM 사용자 자격 증명으로 API 호출되었는지 여부를 나타냅니다.

    임시 보안 자격 증명에 대한 자세한 내용은 IAM사용 설명서의 임시 보안 자격 증명을 참조하십시오.

  • Directory - Directory Service에 대한 요청이 이루어지며 유형은 알 수 없습니다. 디렉터리 서비스에는 Amazon WorkDocs 및 Amazon이 포함됩니다 QuickSight.

  • AWSAccount— 다른 사람이 요청했습니다. AWS 계정

  • AWSService— 에 속한 AWS 계정 사람이 요청했습니다 AWS 서비스. 예를 들어, 계정 내 IAM 역할을 맡아 나를 대신하여 다른 AWS 서비스 사람에게 전화를 거는 AWS Elastic Beanstalk 경우를 예로 들 수 있습니다.

  • IdentityCenterUser— IAM Identity Center 사용자를 대신하여 요청이 이루어졌습니다.

  • Unknown— 확인할 CloudTrail 수 없는 ID 유형으로 요청이 이루어졌습니다.

선택 사항: False

AWSAccounttype소유한 IAM 역할을 사용하여 계정 간 액세스가 있는 경우 로그에 AWSService 표시됩니다.

예: 다른 AWS 계정에서 시작된 교차 계정 액세스

  1. 계정에서 IAM 역할을 소유합니다.

  2. 다른 AWS 계정이 해당 역할로 전환하여 해당 계정의 역할을 맡게 됩니다.

  3. 역할을 소유하고 있으므로 다른 계정이 IAM 역할을 수임했음을 보여주는 로그를 받게 됩니다. typeAWSAccount입니다. 로그 항목의 예는 CloudTrail 로그 파일의AWS STS API 이벤트를 참조하십시오.

예: 서비스에 의해 시작된 계정 간 액세스 AWS

  1. 계정에서 IAM 역할을 소유합니다.

  2. AWS 서비스가 소유한 AWS 계정이 해당 역할을 맡습니다.

  3. 역할을 소유하고 있으므로 AWS 서비스가 IAM 역할을 수임했음을 보여주는 로그를 받게 됩니다. typeAWSService입니다.

userName

호출이 이루어지는 자격 증명의 표시 이름입니다. userName에 표시되는 값은 type의 값을 기반으로 합니다. 다음 표는 typeuserName 사이의 관계를 보여 줍니다.

type userName 설명
Root(별칭 설정 없음) 존재하지 않음 별칭을 설정하지 않은 경우 userName 필드가 표시되지 않습니다. AWS 계정계정 별칭에 대한 자세한 내용은 사용자 AWS 계정 ID 및 해당 별칭을 참조하십시오. 참고로 userName 필드는 Root을 포함할 수 없습니다. Root는 사용자 이름이 아니라 자격 증명 유형이기 때문입니다.
Root(별칭 설정) 계정 별칭 AWS 계정 별칭에 대한 자세한 내용은 AWS 계정 ID 및 별칭을 참조하십시오.
IAMUser 사용자의 사용자 이름 IAM

AssumedRole

 존재하지 않음 AssumedRole유형의 경우 sessionIssuer요소의 sessionContext 일부로 userName 필드를 찾을 수 있습니다. 예제 항목은 를 참조하세요.

Role

 사용자 정의 sessionContextsessionIssuer 섹션에서는 역할에 대한 세션을 발행한 자격 증명에 관한 정보가 제공됩니다.
FederatedUser 존재하지 않음 sessionContextsessionIssuer 섹션에는 연합된 사용자에 대한 세션을 발행한 자격 증명에 관한 정보가 포함됩니다.
Directory 있을 수 있음 예를 들어 값은 연결된 AWS 계정 ID계정 별칭 또는 이메일 주소일 수 있습니다.
AWSService 존재하지 않음
AWSAccount 존재하지 않음
IdentityCenterUser 존재하지 않음 onBehalfOf 섹션에는 호출이 이루어진 IAM Identity Center 사용자 ID 및 ID 저장소에 ARN 대한 정보가 들어 있습니다. IAMIdentity Center에 대한 자세한 내용은 AWS IAM Identity Center 사용 설명서를 참조하십시오.
Unknown 있을 수 있음 예를 들어 값은 연결된 AWS 계정 ID계정 별칭 또는 이메일 주소일 수 있습니다.
참고

기록된 이벤트가 잘못된 사용자 이름 입력으로 인한 콘솔 로그인 실패인 경우 userName 필드에는 HIDDEN_DUE_TO_SECURITY_REASONS 문자열이 포함됩니다. CloudTrail 다음 예와 같이 텍스트에 민감한 정보가 포함될 수 있으므로 이 경우에는 내용을 기록하지 않습니다.

  • 사용자가 우발적으로 사용자 이름 필드에 암호를 입력합니다.

  • 사용자가 한 AWS 계정의 로그인 페이지 링크를 클릭한 다음 다른 계정의 로그인 페이지에 대한 계정 번호를 입력합니다.

  • 사용자가 우발적으로 개인 이메일 계정의 사용자 이름, 금융 서비스 로그인 식별자, 또는 기타 프라이빗 ID를 입력합니다.

선택 사항: True

principalId

호출이 이루어지는 개체에 대한 고유 식별자입니다. 임시 보안 자격 증명으로 요청한 경우 AssumeRoleAssumeRoleWithWebIdentity, 또는 GetFederationToken API 호출에 전달되는 세션 이름이 이 값에 포함됩니다.

선택 사항: True

arn

전화를 건 보안 주체의 Amazon 리소스 이름 (ARN). ARN의 마지막 섹션에는 호출이 이루어지는 사용자 또는 역할이 포함됩니다.

선택 사항: True

accountId

요청에 대한 권한을 허용하는 개체를 소유한 계정입니다. 임시 보안 자격 증명으로 요청한 경우 이 계정은 자격 증명을 얻는 데 사용된 IAM 사용자 또는 역할을 소유한 계정입니다.

IAMIdentity Center 승인 액세스 토큰으로 요청한 경우 이 계정이 IAM Identity Center 인스턴스를 소유한 계정입니다.

선택 사항: True

accessKeyId

요청을 서명하는 데 사용된 액세스 키 ID입니다. 임시 보안 자격 증명으로 요청이 이루어진 경우 임시 자격 증명의 액세스 키 ID가 됩니다. 보안상의 이유로 accessKeyId는 없거나 빈 문자열로 표시될 수 있습니다.

선택 사항: True

sessionContext

임시 보안 자격 증명으로 요청이 이루어진 경우 sessionContext는 해당 자격 증명에 대해 생성한 세션에 관한 정보를 제공합니다. 임시 자격 증명을 API 반환하는 계정을 호출하면 세션이 생성됩니다. 또한 사용자는 콘솔에서 작업할 때 세션을 생성하고 다단계 인증을 APIs 포함하는 요청을 보냅니다. 에는 다음과 같은 속성이 나타날 수 있습니다. sessionContext

  • sessionIssuer— 사용자가 임시 보안 자격 증명으로 요청하는 경우 사용자가 자격 증명을 획득한 방법에 대한 정보를 sessionIssuer 제공합니다. 예를 들어, 사용자가 역할을 맡아 임시 보안 자격 증명을 획득했다면, 이 요소는 가정한 역할에 관한 정보를 제공합니다. AWS STS GetFederationToken호출할 루트 또는 IAM 사용자 자격 증명이 포함된 자격 증명을 획득한 경우 요소는 루트 계정 또는 IAM 사용자에 대한 정보를 제공합니다. 이 요소는 다음 속성을 가집니다.

    • type - 임시 보안 자격 증명의 소스입니다(예: Root, IAMUser 또는 Role).

    • userName - 세션을 발급한 사용자 또는 역할의 표시 이름입니다. 표시되는 값은 sessionIssuer 자격 증명 type 유형에 따라 달라집니다. 다음 표는 sessionIssuer typeuserName 사이의 관계를 보여 줍니다.

      sessionIssuer 유형 userName 설명
      Root(별칭 설정 없음) 존재하지 않음 계정에 대한 별칭을 설정하지 않은 경우 userName 필드가 표시되지 않습니다. AWS 계정 별칭에 대한 자세한 내용은 사용자 AWS 계정 ID 및 해당 별칭을 참조하십시오. 참고로 userName 필드에는 Root를 포함할 수 없습니다. Root는 사용자 이름이 아니라 자격 증명 유형이기 때문입니다.
      Root(별칭 설정) 계정 별칭 AWS 계정 별칭에 대한 자세한 내용은 AWS 계정 ID 및 별칭을 참조하십시오.
      IAMUser 사용자의 사용자 이름 IAM 또한 IAMUser가 발행한 세션을 연합된 사용자가 사용하는 경우에도 적용됩니다.
      Role 역할 이름 역할 세션에서 IAM 사용자 또는 웹 ID 연동 사용자가 맡는 역할입니다. AWS 서비스

    • principalId - 자격 증명을 가져오는 데 사용하는 엔터티의 내부 ID입니다.

    • arn— 임시 보안 자격 증명을 가져오는 데 사용된 소스 (계정, IAM 사용자 또는 역할) ARN 의 것입니다.

    • accountId - 자격 증명을 가져오는 데 사용되는 엔터티를 소유한 계정입니다.

  • webIdFederationData웹 ID 페더레이션을 통해 획득한 임시 보안 자격 증명으로 요청한 경우 ID 제공자에 대한 정보가 webIdFederationData 나열됩니다.

    이 요소는 다음 속성을 가집니다.

    • federatedProvider - 자격 증명 공급자의 보안 주체 이름입니다(예: Login with Amazon의 경우 www.amazon.com 또는 Google의 경우 accounts.google.com).

    • attributes - 공급자가 보고하는 애플리케이션 ID 및 사용자 ID입니다(예: Login with Amazon의 경우 www.amazon.com:app_idwww.amazon.com:user_id).

    참고

    이 필드가 누락되었거나 이 필드가 빈 값과 함께 있으면 ID 제공자에 대한 정보가 없음을 의미합니다.

  • creationDate - 임시 보안 자격 증명이 발급된 날짜 및 시간입니다. ISO8601 기본 표기법으로 표시됩니다.

  • mfaAuthenticated— 값은 요청에 자격 증명을 사용한 루트 IAM 사용자 또는 사용자가 MFA 장치로도 인증했는지 여부이고, true 그렇지 않으면 false

  • sourceIdentity - 이 주제의 AWS STS 소스 아이덴티티를 참조하세요. 이 sourceIdentity 필드는 사용자가 IAM 역할을 맡아 작업을 수행하는 이벤트에 나타납니다. sourceIdentity사용자의 ID가 사용자, IAM 역할, SAML 기반 페더레이션을 통해 인증된 사용자 또는 OpenID Connect OIDC () 호환 웹 ID 페더레이션을 통해 인증된 사용자인지 여부에 관계없이 요청을 하는 원래 사용자 ID를 식별합니다. IAM 소스 ID 정보를 AWS STS 수집하도록 구성하는 방법에 대한 자세한 내용은 사용 설명서의 수임된 역할로 수행된 작업 모니터링 및 제어를 참조하십시오. IAM

  • ec2RoleDelivery— 값은 Amazon EC2 인스턴스 메타데이터 서비스 버전 1 (IMDSv1) 에서 자격 증명을 제공한 1.0 경우입니다. 값은 새 IMDS 체계를 사용하여 자격 증명을 제공한 2.0 경우입니다.

    AWS Amazon EC2 인스턴스 메타데이터 서비스 (IMDS) 에서 제공하는 자격 증명에는 ec2: RoleDelivery IAM 컨텍스트 키가 포함됩니다. 이 컨텍스트 키를 사용하면 IAM 정책, 리소스 정책 service-by-service 또는 AWS Organizations 서비스 제어 정책의 조건으로 컨텍스트 키를 사용하여 OR resource-by-resource 기반으로 새 체계를 쉽게 적용할 수 있습니다. 자세한 내용은 Amazon 사용 설명서의 인스턴스 메타데이터 및 EC2 사용자 데이터를 참조하십시오.

선택 사항: True

invokedBy

Amazon EC2 Auto Scaling과 AWS 서비스 같은 회사에서 요청하는 경우 요청한 사람의 이름 또는 AWS 서비스 AWS Elastic Beanstalk이 필드는 사용자가 요청하는 경우에만 표시됩니다 AWS 서비스. 여기에는 정방향 액세스 세션 (FAS), AWS 서비스 주도자, 서비스 연결 역할 또는 에서 사용하는 서비스 역할을 사용하여 서비스에서 수행한 요청이 포함됩니다. AWS 서비스

선택 사항: True

onBehalfOf

IAMIdentity Center 발신자가 요청한 경우 호출이 이루어진 IAM Identity Center 사용자 ID 및 ID 저장소에 ARN 대한 정보를 onBehalfOf 제공합니다. 이 요소는 다음 속성을 가집니다.

  • userId— 전화를 대신 건 IAM ID 센터 사용자의 ID.

  • identityStoreArn— 호출이 대신 이루어진 IAM ID 센터 ID 저장소의 ID 저장소입니다. ARN

선택 사항: True

credentialId

요청의 자격 증명 ID입니다. 이는 발신자가 IAM Identity Center 승인 액세스 토큰과 같은 전달자 토큰을 사용하는 경우에만 설정됩니다.

선택 사항: True

AWS STS APIswith SAML 및 웹 ID 페더레이션의 값

AWS CloudTrail 보안 어설션 마크업 언어 AWS Security Token Service (AWS STS) 및 웹 ID 페더레이션을 사용한 logging (SAML) API 호출을 지원합니다. 사용자가 AssumeRoleWithSAMLAssumeRoleWithWebIdentityAPIs를 호출하면 통화를 CloudTrail 녹음하고 Amazon S3 버킷으로 이벤트를 전송합니다.

이러한 userIdentity APIs 요소에는 다음 값이 포함됩니다.

type

자격 증명 유형입니다.

  • SAMLUser— SAML 어설션을 통해 요청이 이루어졌습니다.

  • WebIdentityUser - 웹 자격 증명 연동 공급자에 의해 요청이 이루어집니다.

principalId

호출이 이루어지는 개체에 대한 고유 식별자입니다.

  • SAMLUser의 경우 saml:namequalifiersaml:sub 키의 조합입니다.

  • WebIdentityUser의 경우 발행자, 애플리케이션 ID 및 사용자 ID의 조합입니다.

userName

호출이 이루어지는 자격 증명의 이름입니다.

  • SAMLUser의 경우 saml:sub 키입니다.

  • WebIdentityUser의 경우 사용자 ID입니다.

identityProvider

외부 자격 증명 제공업체의 보안 주체 이름입니다. 이 필드는 SAMLUser 또는 WebIdentityUser 유형에만 나타납니다.

  • 왜냐하면SAMLUser, 이것이 주장의 saml:namequalifier 핵심이기 때문입니다. SAML

  • WebIdentityUser의 경우 웹 자격 증명 연동 제공업체의 발행자 이름입니다. 다음과 같이 구성된 제공업체일 수 있습니다.

    • Amazon Cognito의 경우 cognito-identity.amazon.com

    • Amazon을 사용한 로그인은 www.amazon.com

    • Google은 accounts.google.com

    • Facebook은 graph.facebook.com

다음은 AssumeRoleWithWebIdentity 작업에 대한 예제 userIdentity 요소입니다.

"userIdentity": {
    "type": "WebIdentityUser",
    "principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id",
    "userName": "user-id",
    "identityProvider": "accounts.google.com"
  }

userIdentity요소가 표시되는 방식과 WebIdentityUser 유형에 대한 로그의 예는 로깅 SAMLUser IAM 및 AWS STS API 호출을 참조하십시오. AWS CloudTrail

AWS STS 소스 아이덴티티

IAM관리자는 사용자가 임시 자격 증명을 사용하여 역할을 수임할 때 ID를 AWS Security Token Service 지정하도록 요구하도록 구성할 수 있습니다. 이 sourceIdentity 필드는 사용자가 역할을 맡거나 위임된 IAM 역할을 가진 작업을 수행하는 이벤트에서 나타납니다.

sourceIdentity 필드는 사용자의 ID가 사용자, IAM 역할, SAML 기반 페더레이션을 사용하여 인증된 사용자 또는 OpenID Connect OIDC () 호환 웹 ID 페더레이션을 사용하여 인증된 사용자인지 여부에 관계없이 요청을 하는 원래 사용자 ID를 식별합니다. IAM IAM관리자가 구성한 후에는 이벤트 레코드 내의 다음 AWS STS이벤트 및 sourceIdentity 위치에 정보를 CloudTrail 기록합니다.

  • 사용자 ID가 역할을 맡을 때 사용하는 AWS STS AssumeRoleAssumeRoleWithSAML, 또는 AssumeRoleWithWebIdentity 호출입니다. sourceIdentity AWS STS 통화 requestParameters 블록에서 찾을 수 있습니다.

  • 사용자 ID가 역할을 사용하여 다른 역할을 위임하는 경우 사용자 ID가 수행하는 AWS STS AssumeRoleAssumeRoleWithSAML, 또는 AssumeRoleWithWebIdentity 호출 (역할 체인이라고 함). sourceIdentity AWS STS 호출 requestParameters 블록에서 찾을 수 있습니다.

  • 이 AWS 서비스는 역할을 맡고 에서 할당한 임시 자격 증명을 사용하는 동안 사용자 ID가 API 호출합니다. AWS STS서비스 API 이벤트에서 sessionContext 블록에서 찾을 수 있습니다. sourceIdentity 예를 들어 사용자 자격 증명이 새 S3 버킷을 생성하는 경우 sourceIdentityCreateBucket 이벤트의 sessionContext 블록에서 발견됩니다.

소스 ID 정보를 AWS STS 수집하도록 구성하는 방법에 대한 자세한 내용은 IAM사용 설명서의 수임된 역할로 수행된 작업 모니터링 및 제어를 참조하십시오. 기록되는 AWS STS 이벤트에 대한 자세한 내용은 IAM사용 설명서의 로깅 IAM 및 AWS STS API 통화를 참조하십시오. CloudTrail AWS CloudTrail

다음은 sourceIdentity 필드를 표시하는 이벤트의 코드 조각 예입니다.

requestParameters 섹션 예

다음 예제 이벤트 스니펫에서 사용자는 AWS STS AssumeRole 요청을 보내고 소스 ID (여기서는 로 표시됨) 를 설정합니다. source-identity-value-set 사용자는 역할이 나타내는 역할을 맡습니다. ARN arn:aws:iam::123456789012:role/Assumed_Role sourceIdentity 필드는 이벤트의 requestParameters 블록에 있습니다.

"eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AIDAJ45Q7YFFAREXAMPLE",
        "accountId": "123456789012"
    },
    "eventTime": "2020-04-02T18:20:53Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "203.0.113.64",
    "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
    "requestParameters": {
        "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
        "roleSessionName": "Test1",
        "sourceIdentity": "source-identity-value-set",
    },

responseElements 섹션 예

다음 예제 이벤트 스니펫에서 사용자는 라는 Developer_Role 역할을 수임하도록 AWS STS AssumeRole 요청하고 소스 ID를 설정합니다. Admin 사용자는 역할이 나타내는 역할을 맡습니다. ARN arn:aws:iam::111122223333:role/Developer_Role sourceIdentity 필드는 이벤트의 requestParametersresponseElements 블록 모두에 나와 있습니다. 역할을 수임하는 데 사용된 임시 자격 증명, 세션 토큰 문자열, 위임된 역할 ID, 세션 이름, ARN 세션이 소스 ID와 함께 responseElements 블록에 표시됩니다.

    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
        "roleSessionName": "Session_Name",
        "sourceIdentity": "Admin"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "expiration": "Jan 22, 2021 12:46:28 AM",
            "sessionToken": "XXYYaz...
                             EXAMPLE_SESSION_TOKEN
                             XXyYaZAz"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
            "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
        },
        "sourceIdentity": "Admin"
    }
...

sessionContext 섹션 예

다음 예제 이벤트 스니펫에서 사용자는 서비스를 DevRole 호출하기 위해 이름이 지정된 역할을 맡고 있습니다. AWS API 사용자는 소스 ID를 설정합니다. 여기서는 다음과 같이 표시됩니다.source-identity-value-set. sourceIdentity필드는 이벤트 sessionContext 블록 내 userIdentity 블록 내에 있습니다.

{
  "eventVersion": "1.08",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
    "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
    "accountId": "123456789012",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAJ45Q7YFFAREXAMPLE",
        "arn": "arn: aws: iam: : 123456789012: role/DevRole",
        "accountId": "123456789012",
        "userName": "DevRole"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2021-02-21T23: 46: 28Z"
      },
      "sourceIdentity": "source-identity-value-set"
    }
  }
}