# CloudTrail
<a name="temporary-delegation-cloudtrail"></a>

Todas as ações realizadas pelos provedores de produtos usando acesso delegado temporário são registradas automaticamente no AWS CloudTrail. Isso fornece uma visibilidade e auditabilidade completas da atividade do provedor do produto em sua conta da AWS. Você pode identificar quais ações foram executadas pelos provedores de produtos, quando elas ocorreram e qual conta de provedor de produto as executou.

Para ajudar você a distinguir entre as ações executadas por suas próprias entidades principais do IAM e aquelas realizadas por provedores de produtos com acesso delegado, os eventos do CloudTrail incluem um novo campo chamado `invokedByDelegate` abaixo do elemento `userIdentity`. Esse campo contém o ID da conta da AWS do provedor do produto, facilitando a filtragem e a auditoria de todas as ações delegadas.

## Estrutura de eventos do CloudTrail
<a name="temporary-delegation-cloudtrail-event-structure"></a>

O exemplo abaixo mostra uma evento do CloudTrail para uma ação realizada por um provedor de produtos usando acesso delegado temporário:

```
{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

O campo `invokedByDelegate` contém o ID da conta da AWS do provedor do produto que executou a ação usando o acesso delegado. Neste exemplo, a conta 444455556666 (o provedor do produto) executou uma ação na conta 111122223333 (a conta do cliente).