Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Delegasi sementara IAM
## Ikhtisar
Delegasi sementara mempercepat orientasi dan menyederhanakan manajemen untuk produk dari Amazon dan AWS Mitra yang terintegrasi dengan akun Anda. AWS Alih-alih mengonfigurasi beberapa AWS layanan secara manual, Anda dapat mendelegasikan izin sementara dan terbatas yang memungkinkan penyedia produk menyelesaikan tugas penyiapan atas nama Anda dalam hitungan menit melalui alur kerja penerapan otomatis. Anda mempertahankan kontrol administratif dengan persyaratan persetujuan dan batasan izin, sementara izin penyedia produk secara otomatis kedaluwarsa setelah durasi yang disetujui tanpa perlu pembersihan manual. Jika produk memerlukan akses persisten untuk operasi yang sedang berlangsung, penyedia dapat menggunakan delegasi sementara untuk membuat peran IAM dengan batas izin yang menentukan izin maksimum peran. Semua aktivitas penyedia produk dilacak AWS CloudTrail untuk kepatuhan dan pemantauan keamanan.
**catatan**
Permintaan delegasi sementara hanya dapat dibuat oleh produk Amazon dan AWS Mitra yang memenuhi syarat yang telah menyelesaikan proses orientasi fitur. Pelanggan meninjau dan menyetujui permintaan ini tetapi tidak dapat membuatnya secara langsung. Jika Anda adalah AWS Mitra yang ingin mengintegrasikan delegasi sementara IAM ke dalam produk Anda, lihat [Panduan Integrasi Mitra untuk instruksi orientasi dan integrasi](access_policies-temporary-delegation-partner-guide.md).
## Cara kerja delegasi sementara
Delegasi sementara memungkinkan Amazon dan AWS Mitra untuk meminta akses sementara dan terbatas ke akun Anda. Setelah persetujuan Anda, mereka dapat menggunakan izin yang didelegasikan untuk mengambil tindakan atas nama Anda. Permintaan delegasi menentukan izin khusus untuk AWS layanan dan tindakan yang diperlukan penyedia produk untuk menyebarkan atau mengonfigurasi sumber daya di akun Anda. AWS Izin ini hanya tersedia untuk waktu yang terbatas dan secara otomatis kedaluwarsa setelah durasi yang ditentukan dalam permintaan.
**catatan**
Durasi maksimum untuk akses yang didelegasikan adalah 12 jam. Namun, pengguna root hanya dapat menyetujui permintaan delegasi dengan durasi 4 jam atau kurang. Jika permintaan menentukan lebih dari 4 jam, Anda harus menggunakan identitas non-root untuk menyetujui permintaan tersebut. Untuk detailnya, lihat [Kemampuan beta simulasi izin](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).
Untuk tugas yang sedang berlangsung, seperti membaca dari bucket Amazon S3, permintaan delegasi dapat mencakup pembuatan peran IAM yang memungkinkan akses berkelanjutan ke sumber daya dan tindakan setelah akses sementara kedaluwarsa. Penyedia produk harus melampirkan batas izin untuk setiap peran IAM yang dibuat melalui delegasi sementara. Batas izin membatasi izin maksimum peran tetapi tidak memberikan izin sendiri. Anda dapat meninjau batas izin sebagai bagian dari permintaan sebelum menyetujuinya. Untuk detailnya, lihat [Batas izin.](access_policies_boundaries.md)
Prosesnya bekerja sebagai berikut:
1. Anda masuk ke produk Amazon atau AWS Mitra untuk mengintegrasikannya dengan AWS lingkungan Anda.
1. Penyedia produk memulai permintaan delegasi atas nama Anda dan mengarahkan Anda ke Konsol Manajemen. AWS
1. Anda meninjau izin yang diminta dan menentukan apakah akan menyetujui, menolak, atau meneruskan permintaan ke administrator Anda.
1. Setelah Anda atau administrator menyetujui permintaan tersebut, penyedia produk dapat memperoleh kredensyal sementara pemberi persetujuan untuk melakukan tugas yang diperlukan.
1. Akses penyedia produk secara otomatis kedaluwarsa setelah jangka waktu yang ditentukan. Namun, setiap peran IAM yang dibuat melalui permintaan delegasi sementara tetap ada di luar periode ini, memungkinkan penyedia produk untuk terus mengakses sumber daya dan tindakan untuk tugas manajemen yang sedang berlangsung.
![\[alt text not found\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/delegation-flow.png)
**catatan**
Anda hanya dapat mendelegasikan izin ke penyedia produk jika Anda memiliki izin untuk layanan dan tindakan yang disertakan dalam permintaan delegasi sementara. Jika Anda tidak memiliki akses ke layanan dan tindakan yang diminta, penyedia produk tidak menerima izin ini saat Anda menyetujui permintaan tersebut.
Jika pemeriksaan izin menunjukkan kemungkinan akan berhasil, Anda dapat menyetujui permintaan delegasi sementara dan melanjutkan alur kerja.
Jika pemeriksaan izin menunjukkan bahwa Anda mungkin tidak memiliki izin yang memadai, teruskan permintaan ke administrator Anda untuk persetujuan. Sebaiknya beri tahu administrator Anda tentang permintaan ini menggunakan metode pilihan Anda seperti email atau tiket.
Setelah administrator Anda menyetujui permintaan, apa yang terjadi selanjutnya tergantung pada konfigurasi penyedia produk:
+ Jika penyedia produk meminta akses langsung, mereka secara otomatis menerima izin sementara dan durasi akses dimulai.
+ Jika penyedia produk meminta rilis oleh pemilik (penerima awal), Anda harus kembali ke permintaan untuk secara eksplisit membagikan akses akun sementara sebelum durasi akses dimulai. Penyedia produk biasanya menggunakan opsi ini ketika mereka membutuhkan masukan tambahan dari Anda, seperti pemilihan sumber daya atau detail konfigurasi, untuk menyelesaikan tugas yang diperlukan.
# Memulai permintaan delegasi sementara
Anda dapat memulai permintaan delegasi sementara hanya dari produk Amazon atau AWS Partner yang didukung. Selama alur kerja yang mendukung pendelegasian sementara, Anda akan diminta untuk memberikan izin sementara dan terbatas kepada penyedia produk untuk mengonfigurasi AWS sumber daya yang diperlukan di akun Anda. Pendekatan otomatis ini memberikan pengalaman yang lebih efisien dengan menghilangkan kebutuhan bagi Anda untuk mengonfigurasi sumber daya ini secara manual.
Anda dapat meninjau detail permintaan delegasi seperti peran IAM tertentu, kebijakan, dan AWS layanan yang dibutuhkan penyedia produk sebelum memberikan akses. Anda dapat menyetujui permintaan sendiri jika Anda memiliki izin yang memadai, atau meneruskan permintaan ke administrator akun Anda untuk persetujuan. Semua akses penyedia produk dibatasi waktu dan dapat dipantau dan dicabut sesuai kebutuhan.
**Untuk memulai permintaan delegasi sementara**
1. Arahkan ke konsol produk yang didukung dari Amazon atau AWS Partner yang memerlukan integrasi dengan AWS akun Anda.
1. Pilih *Terapkan dengan delegasi sementara IAM*. Perhatikan bahwa nama opsi dapat bervariasi di seluruh produk yang didukung. Lihat dokumentasi penyedia produk untuk detailnya.
**catatan**
Jika Anda belum masuk ke AWS Management Console, jendela baru akan terbuka ke halaman AWS login. Kami menyarankan Anda masuk ke AWS akun Anda sebelum memulai permintaan delegasi sementara dari konsol produk. Untuk informasi selengkapnya tentang cara masuk berdasarkan jenis pengguna dan AWS sumber daya yang ingin diakses, lihat [Panduan Pengguna AWS Masuk](docs---aws.amazon.com.rproxy.govskope.casignin/latest/userguide/what-is-sign-in.html).
1. Tinjau detail permintaan untuk mengonfirmasi nama produk dan AWS akun penyedia produk. Anda juga dapat meninjau AWS identitas yang akan digunakan penyedia produk untuk melakukan tindakan atas nama Anda.
1. Tinjau *detail Access* untuk izin yang akan didelegasikan sementara dengan menyetujui permintaan ini.
+ Bagian *Ringkasan Izin* memberikan ikhtisar tingkat tinggi yang dihasilkan oleh AI yang dapat membantu Anda memahami kategori AWS layanan apa yang dapat diakses dan jenis tindakan apa yang dapat dilakukan di setiap layanan.
+ Pilih *Lihat JSON* untuk meninjau izin tertentu yang perlu disebarkan oleh penyedia produk di AWS akun Anda, termasuk cakupan akses dan batasan sumber daya.
+ Jika penyedia produk membuat peran IAM sebagai bagian dari permintaan delegasi sementara, batas izin harus dilampirkan pada peran tersebut. Peran IAM ini memiliki izin yang terus memungkinkan akses ke sumber daya dan tindakan setelah durasi akses yang diminta berakhir. Pilih *Lihat detail* untuk meninjau batas izin, yang menentukan izin maksimum yang dapat dimiliki peran. Penyedia produk akan menerapkan kebijakan tambahan pada peran selama pembuatan yang menentukan izin aktualnya. Kebijakan ini mungkin tampak lebih terfokus, atau lebih luas, daripada batas tergantung pada bagaimana penyedia produk mendefinisikannya. Namun, batas izin menjamin bahwa izin efektif peran tidak akan pernah melebihi apa yang Anda lihat selama persetujuan permintaan, terlepas dari kebijakan apa yang dilampirkan pada peran tersebut. Untuk informasi selengkapnya, lihat [Batas izin.](access_policies_boundaries.md)
1. Tinjau hasil simulasi izin. Kemampuan simulasi izin secara otomatis mengevaluasi izin identitas Anda terhadap izin yang termasuk dalam permintaan. Berdasarkan analisis ini, rekomendasi ditampilkan yang menunjukkan apakah akan menyetujui permintaan dengan identitas Anda saat ini atau meneruskan permintaan ke administrator. Untuk detailnya, lihat [Kemampuan beta simulasi izin](#temporary-delegation-permission-simulation).
1. Dalam dialog, pilih bagaimana Anda ingin melanjutkan.
+ Pilih *Izinkan akses* ketika identitas Anda memiliki izin yang cukup untuk memungkinkan penyedia produk melakukan prosedur orientasi atas nama Anda. Bila Anda memilih opsi ini, durasi akses penyedia produk dimulai setelah Anda memberikan akses.
+ Pilih *Minta persetujuan* jika identitas Anda tidak memiliki izin yang memadai untuk mengizinkan penyedia produk melakukan prosedur orientasi atas nama Anda. Kemudian, pilih *Buat permintaan persetujuan*. Ketika Anda memilih opsi ini, tautan permintaan delegasi sementara dibuat yang dapat Anda bagikan dengan administrator akun Anda. Administrator Anda dapat mengakses Konsol AWS Manajemen atau menggunakan tautan akses untuk meninjau permintaan delegasi sementara untuk menyetujui permintaan dan berbagi akses sementara dengan pemohon.
**catatan**
Pemberian akses penyedia produk memerlukan dua tindakan: menerima permintaan delegasi (`AcceptDelegationRequest`) dan melepaskan token pertukaran (). `SendDelegatedToken` Konsol AWS Manajemen akan melakukan kedua langkah secara otomatis saat Anda menyetujui permintaan. Jika Anda menggunakan API AWS CLI atau, Anda harus menjalankan kedua langkah secara terpisah.
## Kemampuan simulasi izin -beta
Ketika Anda menerima permintaan delegasi sementara, Anda dapat menyetujuinya sendiri atau meneruskannya ke administrator akun Anda untuk persetujuan. Anda hanya dapat mendelegasikan izin ke penyedia produk jika Anda memiliki izin untuk layanan dan tindakan yang disertakan dalam permintaan delegasi sementara. Jika Anda tidak memiliki akses ke layanan dan tindakan yang diminta, penyedia produk tidak akan menerima izin tersebut meskipun mereka disertakan dalam permintaan.
Misalnya, permintaan delegasi sementara memerlukan kemampuan untuk membuat bucket Amazon S3, memulai dan menghentikan instans di EC2 Amazon, dan mengambil peran IAM. Identitas yang menyetujui permintaan dapat memulai dan menghentikan instans di Amazon EC2, dan mengambil peran IAM, tetapi tidak memiliki izin untuk membuat bucket Amazon S3. Ketika identitas ini menyetujui permintaan, penyedia produk tidak dapat membuat bucket Amazon S3 meskipun izin ini disertakan dalam permintaan delegasi sementara.
Karena Anda hanya dapat mendelegasikan izin yang sudah Anda miliki, penting untuk mengevaluasi apakah Anda memiliki izin yang diminta sebelum menyetujui. Kemampuan beta simulasi izin membantu evaluasi ini dengan membandingkan izin Anda dengan izin yang disertakan dalam permintaan. Penilaian menunjukkan apakah Anda dapat menyetujui permintaan dengan identitas Anda saat ini atau perlu meneruskannya ke administrator. Jika analisis tidak dapat memvalidasi bahwa Anda memiliki izin yang memadai, teruskan permintaan ke administrator untuk ditinjau. Penilaian ini didasarkan pada analisis izin simulasi dan mungkin berbeda dari AWS lingkungan hidup Anda, jadi tinjau izin yang diminta dengan cermat sebelum melanjutkan.
## Langkah selanjutnya
Setelah Anda memulai permintaan delegasi sementara, Anda dapat mengelola dan memantau permintaan melalui siklus hidupnya. Prosedur berikut membantu Anda melacak, menyetujui, dan mengontrol akses sementara:
+ [Tinjau Permintaan delegasi sementara](temporary-delegation-review-requests.md) — Pantau status permintaan akses Anda, dan lihat informasi terperinci tentang permintaan untuk menyetujui atau menolak permintaan delegasi sementara.
+ [Mencabut akses delegasi sementara — Segera hentikan sesi delegasi](temporary-delegation-revoke-access.md) sementara yang aktif sebelum kedaluwarsa secara alami.
# Tinjau permintaan delegasi sementara
Setelah memulai permintaan delegasi sementara, Anda dapat memantau, menyetujui, dan menolak permintaan di konsol IAM. Halaman Permintaan delegasi Sementara menyediakan tampilan terpusat dari semua permintaan, termasuk permintaan yang menunggu persetujuan, selesai, atau ditolak. Sebagai administrator, Anda dapat meninjau permintaan ini untuk memberikan akses kepada penyedia produk ke AWS sumber daya atau menolaknya berdasarkan kebijakan keamanan, persyaratan bisnis, atau standar kepatuhan organisasi Anda. Visibilitas ini membantu Anda melacak siklus hidup akses penyedia produk dan menjaga pengawasan izin sementara.
**catatan**
Anda harus memiliki AcceptDelegationRequest izin iam: untuk menyetujui permintaan delegasi sementara.
**Untuk menyetujui permintaan delegasi sementara**
1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
1. Di panel navigasi di sebelah kiri, pilih Permintaan *delegasi sementara*.
1. Halaman utama menampilkan daftar permintaan delegasi sementara Anda dengan informasi berikut:
+ *ID Permintaan* - Pengidentifikasi unik untuk permintaan
+ *Status - Status* saat ini (Tertunda, Disetujui, Ditolak, Dibagikan, Kedaluwarsa)
+ *Pemohon* - Penyedia produk yang terkait dengan permintaan
+ *Diprakarsai oleh* - kepala IAM di akun yang memprakarsai permintaan untuk penyedia produk
+ *Permintaan dibuat* - Saat permintaan dikirimkan
+ *Permintaan kedaluwarsa* — Ketika permintaan kedaluwarsa atau akan kedaluwarsa
1. (Opsional) Gunakan opsi filter untuk melihat permintaan berdasarkan status:
+ *Semua permintaan* — Lihat semua permintaan Anda terlepas dari status
+ *Tertunda* - Lihat permintaan menunggu persetujuan administrator
+ *Disetujui* - Lihat permintaan yang disetujui
+ *Dibagikan* - Lihat permintaan yang aksesnya telah dibagikan
+ *Ditolak* - Lihat permintaan yang ditolak dengan alasan penolakan
1. Untuk melihat informasi terperinci tentang permintaan tertentu atau meninjau permintaan persetujuan yang tertunda, pilih ID permintaan.
1. Tinjau informasi permintaan terperinci:
+ Informasi penyedia produk
+ Minta alasan dan pembenaran
+ Durasi yang diminta
+ AWS Izin yang diminta
1. Jika Anda seorang administrator yang meninjau permintaan yang tertunda, pilih salah satu opsi berikut:
+ Untuk menyetujui permintaan, pilih *Menyetujui*. Dalam dialog persetujuan, Anda dapat melihat hasil simulasi izin. Untuk informasi selengkapnya, lihat [Kemampuan beta simulasi izin](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Setelah mengonfirmasi durasi akses dan AWS identitas Anda, pilih *Menyetujui* untuk memberikan akses. Jika penyedia produk meminta akses langsung, mereka secara otomatis menerima izin sementara dan durasi akses dimulai. Jika tidak, beri tahu orang yang memulai permintaan untuk melepaskan akses ke penyedia produk.
+ Untuk menolak permintaan, pilih *Tolak*.
+ Dalam dialog penolakan, berikan alasan yang jelas untuk penolakan untuk membantu pemohon memahami mengapa permintaan mereka ditolak.
+ Pilih *Tolak untuk menolak* akses.
1. Daftar permintaan secara otomatis menyegarkan untuk menampilkan informasi status terbaru. Anda juga dapat menyegarkan halaman secara manual untuk memeriksa pembaruan status.
# Mencabut akses delegasi sementara
Meskipun sesi akses penyedia produk dirancang untuk kedaluwarsa secara otomatis setelah durasi yang disetujui, Anda mungkin perlu segera menghentikan akses dalam situasi tertentu. Mencabut akses penyedia produk aktif menyediakan mekanisme kontrol darurat ketika masalah keamanan muncul, ketika pekerjaan penyedia produk selesai lebih awal, atau ketika persyaratan bisnis berubah. Pemrakarsa permintaan dan administrator dapat mencabut akses untuk menjaga keamanan dan kontrol operasional.
**Untuk mencabut akses delegasi sementara**
1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
1. Di panel navigasi di sebelah kiri, pilih Permintaan *delegasi sementara*.
1. Temukan ID permintaan untuk sesi akses yang ingin Anda cabut.
1. Pilih *Tindakan* dan kemudian pilih *Cabut akses*.
1. Dalam dialog, pilih *Cabut akses* untuk mengonfirmasi bahwa Anda ingin segera menghentikan sesi akses.
Setelah mencabut akses, penyedia produk tidak akan lagi dapat mengakses sumber daya Anda AWS . Pencabutan masuk AWS CloudTrail untuk tujuan audit.
**penting**
Mencabut akses segera mengakhiri sesi akses penyedia produk. Setiap pekerjaan atau proses yang sedang berlangsung menggunakan akses akan terganggu. Pastikan pencabutan tidak akan mengganggu operasi kritis.
**catatan**
Anda tidak dapat mencabut akses untuk permintaan yang disetujui menggunakan pengguna root. AWS merekomendasikan agar Anda menghindari penggunaan pengguna root untuk menyetujui permintaan delegasi. Gunakan peran IAM dengan izin yang sesuai sebagai gantinya.
## Mengelola Izin untuk Permintaan Delegasi
Administrator dapat memberikan izin kepada prinsipal IAM untuk mengelola permintaan delegasi dari penyedia produk. Ini berguna saat Anda ingin mendelegasikan otoritas persetujuan kepada pengguna atau tim tertentu di organisasi Anda, atau saat Anda perlu mengontrol siapa yang dapat melakukan tindakan spesifik pada permintaan delegasi.
Izin IAM berikut tersedia untuk mengelola permintaan delegasi:
| Izin | Deskripsi |
| --- | --- |
| saya: AssociateDelegationRequest | Kaitkan permintaan delegasi yang tidak ditetapkan dengan akun Anda AWS |
| saya: GetDelegationRequest | Lihat detail permintaan delegasi |
| saya: UpdateDelegationRequest | Meneruskan permintaan delegasi ke administrator untuk persetujuan |
| saya: AcceptDelegationRequest | Menyetujui permintaan delegasi |
| saya: SendDelegationToken | Lepaskan token pertukaran ke penyedia produk setelah persetujuan |
| saya: RejectDelegationRequest | Tolak permintaan delegasi |
| saya: ListDelegationRequests | Daftar permintaan delegasi untuk akun Anda |
**catatan**
Secara default, prinsipal IAM yang memulai permintaan delegasi secara otomatis diberikan izin untuk mengelola permintaan tertentu. Mereka dapat mengaitkannya dengan akun mereka, melihat detail permintaan, menolak permintaan, meneruskannya ke administrator untuk persetujuan, melepaskan token pertukaran ke penyedia produk setelah persetujuan admin, dan daftar permintaan delegasi yang mereka miliki.
# Notifikasi
Delegasi sementara IAM terintegrasi dengan Pemberitahuan AWS Pengguna untuk membantu Anda tetap mendapat informasi tentang perubahan status permintaan delegasi. Pemberitahuan sangat berguna bagi administrator yang perlu meninjau dan menyetujui permintaan delegasi.
Dengan Pemberitahuan AWS Pengguna, Anda dapat mengonfigurasi peringatan untuk dikirimkan melalui beberapa saluran, termasuk email, Amazon Simple Notification Service (SNS), AWS Chatbot untuk Slack atau Microsoft Teams, dan Console Mobile Application. AWS Ini memastikan bahwa orang yang tepat diberi tahu pada waktu yang tepat, memungkinkan respons yang lebih cepat terhadap persetujuan yang tertunda atau kesadaran akan perubahan akses. Anda juga dapat menyesuaikan peristiwa mana yang memicu pemberitahuan berdasarkan kebutuhan organisasi dan persyaratan keamanan.
## Acara Pemberitahuan yang Tersedia
Anda dapat berlangganan untuk menerima pemberitahuan untuk acara delegasi sementara IAM berikut:
+ Permintaan Delegasi Sementara IAM Dibuat
+ Permintaan Delegasi Sementara IAM Ditugaskan
+ Permintaan Delegasi Sementara IAM Menunggu Persetujuan
+ Permintaan Delegasi Sementara IAM Ditolak
+ Permintaan Delegasi Sementara IAM Diterima
+ Permintaan Delegasi Sementara IAM Diselesaikan
+ Permintaan Delegasi Sementara IAM Kedaluwarsa
## Mengkonfigurasi Pemberitahuan
Untuk mengonfigurasi pemberitahuan untuk acara delegasi sementara IAM:
1. Buka konsol Pemberitahuan AWS Pengguna
1. Membuat atau memperbarui konfigurasi notifikasi
1. Pilih AWS IAM sebagai layanan
1. Pilih acara permintaan delegasi mana yang ingin Anda beri tahu
1. Konfigurasikan saluran pengiriman Anda (email, AWS Chatbot, dll.)
Untuk petunjuk mendetail tentang mengonfigurasi Pemberitahuan AWS Pengguna, termasuk menyiapkan saluran pengiriman dan mengelola aturan notifikasi, lihat dokumentasi Pemberitahuan AWS Pengguna.
# CloudTrail
Semua tindakan yang dilakukan oleh penyedia produk menggunakan akses delegasi sementara secara otomatis masuk AWS CloudTrail. Ini memberikan visibilitas lengkap dan auditabilitas aktivitas penyedia produk di akun Anda AWS . Anda dapat mengidentifikasi tindakan mana yang diambil oleh penyedia produk, kapan itu terjadi, dan akun penyedia produk mana yang melakukannya.
Untuk membantu Anda membedakan antara tindakan yang diambil oleh prinsipal IAM Anda sendiri dan tindakan yang diambil oleh penyedia produk dengan akses yang didelegasikan, CloudTrail acara menyertakan bidang baru yang disebut di bawah elemen. `invokedByDelegate` `userIdentity` Bidang ini berisi ID AWS akun penyedia produk, sehingga mudah untuk memfilter dan mengaudit semua tindakan yang didelegasikan.
## CloudTrail Struktur Acara
Contoh berikut menunjukkan CloudTrail peristiwa untuk tindakan yang dilakukan oleh penyedia produk menggunakan akses yang didelegasikan sementara:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
},
"invokedByDelegate": {
"accountId": "444455556666"
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePolicyName"
},
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
`invokedByDelegate`Kolom berisi ID AWS akun penyedia produk yang melakukan tindakan menggunakan akses yang didelegasikan. Dalam contoh ini, akun 444455556666 (penyedia produk) melakukan tindakan di akun 111122223333 (akun pelanggan).