Suivi des tâches privilégiées dans AWS CloudTrail - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Suivi des tâches privilégiées dans AWS CloudTrail

Le compte AWS Organizations de gestion ou un compte d'administrateur délégué pour IAM peut effectuer certaines tâches d'utilisateur root sur les comptes membres en utilisant un accès root à court terme. Les sessions privilégiées de courte durée vous fournissent des informations d’identification temporaires que vous pouvez définir pour effectuer des actions privilégiées sur un compte membre de votre organisation. Vous pouvez utiliser les étapes suivantes pour identifier les actions effectuées par le compte de gestion ou un administrateur délégué au cours de la session sts:AssumeRoot.

Note

Le point de terminaison global n'est pas pris en charge poursts:AssumeRoot. CloudTrail enregistre les ConsoleLogin événements dans la région spécifiée pour le point de terminaison.

Pour suivre les actions effectuées par une session privilégiée dans les CloudTrail journaux

  1. Trouvez l'AssumeRootévénement dans vos CloudTrail journaux. Cet événement est généré lorsque votre compte de gestion ou l’administrateur délégué d’IAM obtient un ensemble d’informations d’identification à court terme de sts:AssumeRoot.

    Dans l'exemple suivant, l' CloudTrail événement pour AssumeRoot est enregistré dans le eventName champ.

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1",
        "arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1",
        "accountId": "111111111111",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111111111111:role/John",
                "accountId": "111111111111",
                "userName": "Admin2"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2024-10-25T20:45:28Z",
                "mfaAuthenticated": "false"
            },
            "assumedRoot": "true"
        }
    },
    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
        }
    }
}

    Pour savoir comment accéder à vos CloudTrail journaux, consultez la section Obtenir et consulter vos fichiers CloudTrail journaux dans le guide de AWS CloudTrail l'utilisateur.

  2. Dans le journal des CloudTrail événements, recherchez celui targetPrincipal qui indique les actions effectuées sur le compte du membre et celui accessKeyId qui est propre à la AssumeRoot session.

    Dans l'exemple suivant, targetPrincipal c'est 222222222222 et c'est EXAMPLE. accessKeyId ASIAIOSFODNN7

    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
    }
}

  3. Dans les CloudTrail journaux du principal cible, recherchez l'ID de clé d'accès correspondant à la accessKeyId valeur de l'AssumeRootévénement. Utilisez les valeurs des champs eventName pour déterminer les tâches privilégiées effectuées pendant la session AssumeRoot. Plusieurs tâches privilégiées peuvent être effectuées au cours d’une même session. La durée maximale de la session AssumeRoot est de 900 secondes (15 minutes).

    Dans l’exemple suivant, le compte de gestion ou l’administrateur délégué a supprimé la politique basée sur les ressources pour un compartiment Amazon S3.

    {
    "eventVersion": "1.10",
    "userIdentity": {
        "type": "Root",
        "principalId": "222222222222",
        "arn": "arn:aws:iam::222222222222:root",
        "accountId": "222222222222",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2024-10-25T20:52:11Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-10-25T20:53:47Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "DeleteBucketPolicy",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",
    "requestParameters": {
        "bucketName": "resource-policy-John",
        "Host": "resource-policy-John.s3.amazonaws.com",
        "policy": ""
    },
    "responseElements": null,
    "requestID": "1234567890abcdef0",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "readOnly": false,
    "resources": [
        {
            "accountId": "222222222222",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::resource-policy-John"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "222222222222",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "resource-policy-John.s3.amazonaws.com"
    }
}