CloudTrail

製品プロバイダーが、一時的に委任されたアクセス許可を使って実行したアクションは、すべて AWS CloudTrail に自動記録されます。つまり、AWS アカウントにおける製品プロバイダーのアクティビティは、すべて可視化され監査できるようになっています。製品プロバイダーが実行したアクション、実行日時、実行したアカウントの特定が可能です。

ユーザーの IAM プリンシパルが実行したアクションと、委任されたアクセス許可を持つ製品プロバイダーが実行したアクションとを区別しやすくするため、CloudTrail イベントの userIdentity エレメントに、新たに invokedByDelegate というフィールドが追加されました。このフィールドに製品プロバイダーの AWS アカウント ID が表示されるため、委任されたアクセス許可によるアクションの、フィルタリングと監査が簡単に行えます。

CloudTrail イベントの構造

製品プロバイダーが、一時的に委任されたアクセス許可を使用して実行したアクションの、CloudTrail イベントの例を以下に示します。

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

invokedByDelegate フィールドには、委任されたアクセス許可を使用してアクションを実行した製品プロバイダーの AWS アカウント ID が記されています。こちらの例では、アカウント 444455556666 (製品プロバイダー) が、アカウント 111122223333 (顧客アカウント) でアクションを実行しています。