本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 CloudTrail 日志中包括IAM身份中心用户上下文
Lake Formation 使用凭证售卖功能提供对 Amazon S3 数据的临时访问权限。默认情况下,当 Ident IAM ity Center 用户向集成分析服务提交查询时, CloudTrail 日志仅包含该服务为提供短期访问而承担的IAM角色。如果您使用用户定义的角色向 Lake Formation 注册 Amazon S3 数据位置,则可以选择在 CloudTrail 事件中包含IAM身份中心用户的上下文,然后跟踪访问您资源的用户。
重要
要在中包含对象级的 Amazon S3 API 请求 CloudTrail,您需要为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录。有关更多信息,请参阅 Amazon S3 用户指南中的为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录。
对使用用户定义角色注册的数据湖位置启用凭证自动售出审计
-
登录 Lake Formation 控制台,网址为https://console.aws.amazon.com/lakeformation/
。 -
在左侧导航栏中,展开管理,然后选择数据目录设置。
-
在 “增强审计” 下,选择 “传播提供的上下文”。
-
选择保存。
您也可以通过在PutDataLakeSettings操作中设置Parameters属性来启用增强审计选项。默认情况下,SET_CONTEXT"参数值设置为 “true”。
{ "DataLakeSettings": { "Parameters": {"SET_CONTEXT": "true"}, } }
以下是带有增强审计选项 CloudTrail 的事件的摘录。该日志包括IAM身份中心用户的会话上下文以及 Lake Formation 为访问 Amazon S3 数据位置而承担的用户定义IAM角色。请参阅以下摘录中的onBehalfOf参数。
{ "eventVersion":"1.09", "userIdentity":{ "type":"AssumedRole", "principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab", "arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab", "accountId":"123456789012", "accessKeyId":"ASIAW7F7MOX4CQLD4JIZN", "sessionContext":{ "sessionIssuer":{ "type":"Role", "principalId":"AROAW7F7MOX4OYE6FLIFN", "arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole", "accountId":"123456789012", "userName":"accessGrantsTestRole" }, "attributes":{ "creationDate":"2023-08-09T17:24:02Z", "mfaAuthenticated":"false" } }, "onBehalfOf":{ "userId": "<identityStoreUserId>", "identityStoreArn": "arn:aws:identitystore::<restOfIdentityStoreArn>" } }, "eventTime":"2023-08-09T17:25:43Z", "eventSource":"s3.amazonaws.com", "eventName":"GetObject", ....
