Seguimiento de tareas con privilegios en AWS CloudTrail - AWS Identity and Access Management

Seguimiento de tareas con privilegios en AWS CloudTrail

La cuenta de administración de AWS Organizations o una cuenta de administrador delegado para IAM pueden realizar algunas tareas de usuario raíz en las cuentas de los miembros mediante el acceso raíz durante un plazo corto. Las sesiones con privilegios de corta duración le proporcionan credenciales temporales que puede utilizar para realizar acciones con privilegios en la cuenta de un miembro de su organización. Puede seguir los siguientes pasos para identificar las acciones realizadas por la cuenta de administración o por un administrador delegado durante la sesión sts:AssumeRoot.

nota

El punto de conexión global no es compatible para sts:AssumeRoot. CloudTrail registra los eventos de ConsoleLogin en la región especificada para el punto de conexión.

Cómo realizar un seguimiento de las acciones realizadas por una sesión con privilegios en los registros de CloudTrail

  1. Busque el evento AssumeRoot en los registros de CloudTrail. Este evento se genera cuando la cuenta de administración o el administrador delegado de IAM obtiene un conjunto de credenciales de corto plazo con sts:AssumeRoot.

    En el siguiente ejemplo, el evento de CloudTrail para AssumeRoot se registra en el campo eventName.

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1",
        "arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1",
        "accountId": "111111111111",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111111111111:role/John",
                "accountId": "111111111111",
                "userName": "Admin2"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2024-10-25T20:45:28Z",
                "mfaAuthenticated": "false"
            },
            "assumedRoot": "true"
        }
    },
    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
        }
    }
}

    Para conocer los pasos a seguir para acceder al registro de CloudTrail, consulte Obtención y visualización de archivos de registros de CloudTrail en la Guía del usuario de AWS CloudTrail.

  2. En el registro de eventos de CloudTrail, busque la targetPrincipal que especifique las acciones de la cuenta del miembro y el accessKeyId que sea exclusiva de la sesión AssumeRoot.

    En el siguiente ejemplo, la targetPrincipal es 222222222222 y el accessKeyId es ASIAIOSFODNN7EXAMPLE.

    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
    }
}

  3. En los registros de CloudTrail de la entidad principal objetivo, busque el ID de clave de acceso que corresponda al valor accessKeyId del evento AssumeRoot. Utilice los valores del campo eventName para determinar las tareas con privilegios que se realizaron durante la sesión AssumeRoot. Es posible que se realicen varias tareas con privilegios en una sola sesión. La duración máxima de la sesión AssumeRoot es de 900 segundos (15 minutos).

    En el siguiente ejemplo, la cuenta de administración o el administrador delegado eliminaron la política basada en recursos de un bucket de Amazon S3.

    {
    "eventVersion": "1.10",
    "userIdentity": {
        "type": "Root",
        "principalId": "222222222222",
        "arn": "arn:aws:iam::222222222222:root",
        "accountId": "222222222222",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2024-10-25T20:52:11Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-10-25T20:53:47Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "DeleteBucketPolicy",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",
    "requestParameters": {
        "bucketName": "resource-policy-John",
        "Host": "resource-policy-John.s3.amazonaws.com",
        "policy": ""
    },
    "responseElements": null,
    "requestID": "1234567890abcdef0",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "readOnly": false,
    "resources": [
        {
            "accountId": "222222222222",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::resource-policy-John"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "222222222222",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "resource-policy-John.s3.amazonaws.com"
    }
}