翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudTrail userIdentity エレメント
<a name="cloudtrail-event-reference-user-identity"></a>

AWS Identity and Access Management (IAM) はさまざまなタイプの ID を提供します。`userIdentity` エレメントには、リクエストを行った IAM アイデンティティのタイプとどの認証情報が使用されたかに関する詳細が含まれます。一時的認証情報が使用された場合、エレメントは、認証情報がどのように取得されたかを示します。

**Contents**
+ [例](#cloudtrail-event-reference-user-identity-examples)
+ [フィールド](#cloudtrail-event-reference-user-identity-fields)
+ [SAML およびウェブ ID フェデレーションを使用する AWS STS APIs の値](#STS-API-SAML-WIF)
+ [AWS STS ソース ID](#STS-API-source-identity)

## 例
<a name="cloudtrail-event-reference-user-identity-examples"></a>

**IAM ユーザー認証情報を使用する `userIdentity`**

次の例は、`userIdentity` という名前の IAM ユーザー認証情報で行われた単純なリクエストの `Alice` エレメントを示しています。

```
"userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDAJ45Q7YFFAREXAMPLE",
    "arn": "arn:aws:iam::123456789012:user/Alice",
    "accountId": "123456789012",
    "accessKeyId": "",
    "userName": "Alice"
}
```

**一時的セキュリティ認証情報を使用する `userIdentity`**

次の例は、IAM ロールを引き受けることにより取得した一時的セキュリティ認証情報を使用して行われたリクエストの `userIdentity` エレメントを示しています。エレメントには、認証情報を取得するために引き受けられたロールに関する追加の情報の詳細が含まれています。

```
"userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
    "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
    "accountId": "123456789012",
    "accessKeyId": "",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAIDPPEZS35WEXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
            "accountId": "123456789012",
            "userName": "RoleToBeAssumed"
        },
        "attributes": {
            "mfaAuthenticated": "false",
            "creationDate": "20131102T010628Z"
        }    
    }
}
```

**IAM アイデンティティーセンターのユーザーに代わって行われたリクエストの `userIdentity`**

次の例は、IAM アイデンティティセンターのユーザーに代わって行われたリクエストの `userIdentity` 要素を示しています。

```
"userIdentity": {
    "type": "IdentityCenterUser",
    "accountId": "123456789012",
    "onBehalfOf": {
        "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
        "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7" 
    },
    "credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}
```

`userId`、`identityStoreArn`、および の使用方法の詳細については`credentialId`、[IAM Identity Center ユーザーガイドの「IAM Identity Center ユーザーが開始した CloudTrail イベントでのユーザーとセッション](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html#user-session-iam-identity-center)の識別」を参照してください。 **

**`userIdentity` 製品プロバイダーが開始したリクエスト**

製品プロバイダーが、一時的に委任されたアクセス許可を使って実行したアクションは、すべて CloudTrail に自動記録されます。これにより、 AWS アカウント内の製品プロバイダーのアクティビティを完全に可視化し、監査できます。製品プロバイダーが実行したアクション、実行日時、実行したアカウントの特定が可能です。

ユーザーの IAM プリンシパルが実行したアクションと、委任されたアクセス許可を持つ製品プロバイダーが実行したアクションとを区別しやすくするため、CloudTrail イベントの `userIdentity` エレメントに、新たに `invokedByDelegate` というフィールドが追加されました。このフィールドには製品プロバイダーの AWS アカウント ID が含まれているため、すべての委任アクションを簡単にフィルタリングおよび監査できます。

次の例は、一時的な委任アクセスを使用して製品プロバイダーによって実行されるアクションの `userIdentity`要素を示しています。

```
"userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAI...",
    "arn": "arn:aws:sts::123456789012:assumed-role/Alice/Session",
    "accountId": "123456789012",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAI...",
            "arn": "arn:aws:iam::123456789012:role/Alice",
            "accountId": "123456789012",
            "userName": "Alice"
        },
        "attributes": {
            "mfaAuthenticated": "false",
            "creationDate": "20131102T010628Z"
        }
    },
    "invokedByDelegate": {
        "accountId": "999999999999"
    }
}
```

`invokedByDelegate` フィールドには、委任アクセスを使用してアクションを実行した製品プロバイダーの AWS アカウント ID が含まれます。この例では、アカウント 999999999999 (製品プロバイダー) がアカウント 123456789012 (顧客アカウント) でアクションを実行しました。

## フィールド
<a name="cloudtrail-event-reference-user-identity-fields"></a>

以下のフィールドは `userIdentity` エレメントに表示されます。

**`type`**  
ID のタイプ。以下の値を指定できます。  
+ `Root` – リクエストは AWS アカウント 認証情報を使用して行われました。`userIdentity` タイプが `Root` で、アカウントのエイリアスを設定した場合、`userName` フィールドには、アカウントエイリアスが含まれます。詳細については、「[AWS アカウント ID とそのエイリアス](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html)」を参照してください。
+ `IAMUser` – リクエストが IAM ユーザーの認証情報を使用して行われました。
+ `AssumedRole` – リクエストは、 AWS Security Token Service (AWS STS) [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API を呼び出すことによってロールで取得された一時的なセキュリティ認証情報を使用して行われました。これには、[Amazon EC2 のロール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)とクロスアカウント API アクセスを含めることができます。
+ `Role`— リクエストは、特定の許可を持つ永続的な IAM アイデンティティを使用して行われました。ロールセッションの発行者は常にロールです。ロールの詳細については、*IAM ユーザーガイド* の「[ロールに関する用語と概念](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)」を参照してください。
+ `FederatedUser` – リクエストは、 API の呼び出しから取得した一時的なセキュリティ認証情報を使用して行われました AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。`sessionIssuer` エレメントは、API がルートまたは IAM ユーザー認証情報で呼び出されたかどうかを示します。

  一時的なセキュリティ認証情報の詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)の「*IAM の一時的なセキュリティ認証情報*」を参照してください。
+ `Directory` — リクエストがディレクトリサービスに対して行われ、タイプが不明です。ディレクトリサービスには、Amazon WorkDocs と Amazon Quick が含まれます。
+ `AWSAccount` – リクエストが別の によって行われた AWS アカウント
+ `AWSService` – リクエストは、 AWS アカウント に属する によって行われました AWS のサービス。たとえば、 はアカウント内の IAM ロール AWS Elastic Beanstalk を引き受けて、 AWS のサービス ユーザーに代わって他の を呼び出します。
+ `IdentityCenterUser` - IAM アイデンティティーセンターのユーザーに代わって行われたリクエスト 
+ `Unknown` — リクエストは、CloudTrail が判断できないアイデンティティタイプで作成されました。
**オプション:** False  
所有する IAM ロールを使用するクロスアカウントアクセスがある場合、`AWSAccount` と `AWSService` が、ログに `type` として表示されます。  

**例: 別のアカウントによって開始されたクロス AWS アカウントアクセス**

1. アカウントには、IAM ロールがあります。

1. 別の AWS アカウントがそのロールに切り替えて、アカウントのロールを引き受けます。

1. IAM ロールを所有しているため、他のアカウントがロールを引き受けたことを示すログを受信します。`type` は、`AWSAccount` です。ログエントリの例については、「[CloudTrail ログファイル内のAWS STS API イベント](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample)」を参照してください。

**例: AWS サービスによって開始されたクロスアカウントアクセス**

1. アカウントには、IAM ロールがあります。

1.  AWS サービスが所有する AWS アカウントがそのロールを引き受けます。

1. IAM ロールを所有しているため、 AWS サービスがロールを引き受けたことを示すログを受信します。`type` は、`AWSService` です。

**`userName`**  
呼び出しを行った ID のフレンドリ名。`userName` に表示される値は、`type` の値に基づいています。次の表は、`type` と `userName` の関係を示しています。      
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
`userName` フィールドには、記録されたイベントが正しくないユーザー名の入力によって引き起こされたコンソールサインインの失敗である場合、文字列 `HIDDEN_DUE_TO_SECURITY_REASONS` が入ります。次の例のように、テキストに機密情報が含まれている可能性があるため、CloudTrail は、この場合コンテンツを記録しません。  
+ ユーザーが誤ってユーザー名フィールドにパスワードを入力した。
+ ユーザーは、ある AWS アカウントのサインインページのリンクをクリックし、別のアカウントのアカウント番号を入力します。
+ ユーザーが、個人の E メールアカウント、銀行のサインイン ID、その他のプライベート ID のアカウント名を誤って入力した。
**オプション:** True

**`principalId`**  
呼び出しを行ったエンティティの一意の識別子 一時的セキュリティ認証情報で行われたリクエストの場合、この値には、`AssumeRole`、`AssumeRoleWithWebIdentity`、`GetFederationToken` API 呼び出しに渡されるセッション名が含まれます。  
**オプション:** True

**`arn`**  
呼び出しを行ったプリンシパルの Amazon リソースネーム (ARN)。arn の最後のセクションには、呼び出しを行ったユーザーまたはロールが含まれています。  
**オプション:** True

**`accountId`**  
リクエストに対するアクセス許可を付与したエンティティを所有するアカウント。リクエストが、一時的なセキュリティ認証情報で行われた場合、これは、認証情報を取得するために使用された IAM ユーザーまたはロールを所有するアカウントです。  
リクエストが、IAM アイデンティティセンターの承認済みアクセストークンを使って実行された場合、これが、IAM アイデンティティセンターインスタンスを所有するアカウントになります。  
**オプション:** True

**`accessKeyId`**  
リクエストに署名するために使用された アクセスキー ID。リクエストが、一時的セキュリティ認証情報で行われた場合、これは、一時的認証情報のアクセスキー IDです。セキュリティ上の理由から、`accessKeyId` が存在しないか、空の文字列として表示される可能性があります。  
**オプション:** True

**`sessionContext`**  
リクエストが、一時的なセキュリティ認証情報を使用して行われた場合、`sessionContext` はこれらの認証情報のために作成されたセッションに関する情報を提供します。一時的認証情報を返す API を呼び出すと、セッションを作成できます。また、ユーザーはコンソールで作業する際に、セッションを作成し、[多要素認証](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)を含む API を使用してリクエストを行います。次の属性を `sessionContext` に表示することができます。  
+ <a name="sessionissuer"></a>`sessionIssuer` – リクエストが一時的なセキュリティ認証情報を使用して行われた場合、`sessionIssuer` はユーザーが認証情報を取得した方法に関する情報を提供します。たとえば、ユーザーがロールを引き受けることで一時的セキュリティ認証情報を取得した場合、このエレメントは、引き受けたロールに関する情報を提供します。ユーザーが AWS STS `GetFederationToken` を呼び出すためのルートまたは IAM ユーザー認証情報で認証情報取得した場合、エレメントは、ルートアカウントまたは IAM ユーザーに関する情報を提供します。この要素には、次の属性があります。
  + `type` – `Root`、`IAMUser`、`Role` などの一時的セキュリティ認証情報のソース。
  + `userName` – セッションを発行したユーザーまたはロールのフレンドリ名。表示される値は、`sessionIssuer` ID `type` によって異なります。次の表は、`sessionIssuer type` と `userName` の関係を示しています。    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
  + `principalId` – 認証情報を取得するために使用されたエンティティの内部 ID。
  + `arn` – 一時的セキュリティ認証情報を取得するために使用されたソース (アカウント、IAM ユーザー、ロール) のARN。
  + `accountId` – 認証情報を取得するために使用されたエンティティを所有するアカウント。
+ `webIdFederationData` – リクエストが、[ウェブ ID フェデレーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html)によって取得された一時的セキュリティ認証情報で行われた場合、`webIdFederationData` は ID プロバイダーに関する情報を一覧表示します。

  この要素には、次の属性があります。
  + `federatedProvider` – ID プロバイダーのプリンシパル名 (たとえば、Login with Amazon の場合は、`www.amazon.com`、Google の場合は、`accounts.google.com`)。
  + `attributes` – プロバイダーからレポートされるアプリケーションの ID とユーザー ID (たとえば、Login with Amazon の場合は、`www.amazon.com:app_id` と `www.amazon.com:user_id`)。
**注記**  
このフィールドが省略されている場合、またはこのフィールドの値が空の場合は、ID プロバイダーに関する情報がないことを示します。
+ `assumedRoot` – 値は、管理アカウントまたは委任された管理者が を呼び出すときの一時的なセッション`true`用です AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)。詳細については、「*IAM ユーザーガイド*」の「[CloudTrail で特権タスクを追跡する](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-track-privileged-tasks.html)」を参照してください。これはオプションのフィールドです。
+ `attributes` – セッションの属性。
  + `creationDate` – 一時的セキュリティ認証情報が発行された日付と時刻。ISO 8601 の基本表記で表されます。
  + `mfaAuthenticated` – また、リクエストに認証情報が使用されたルートユーザーまたは IAM ユーザーも、MFA デバイスで認証された場合、この値は、`true` です。そうでない場合は、`false` です。
+ `sourceIdentity` - このトピックの「[AWS STS ソース ID](#STS-API-source-identity)」を参照してください。`sourceIdentity` フィールドは、ユーザーがアクションを実行するために IAM ロールを引き受けるときにイベントで発生します。`sourceIdentity` は、リクエストを行う元のユーザーアイデンティティを識別します。そのユーザーのアイデンティティが IAM ユーザー、IAM ロール、SAML ベースのフェデレーションで認証されたユーザー、OpenID Connect (OIDC) 準拠のウェブ ID フェデレーションで認証されたユーザーのいずれであるかを示します。ソース ID 情報を収集 AWS STS するように を設定する方法の詳細については、*「IAM ユーザーガイド*」の[「引き受けたロールで実行されたアクションのモニタリングと制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html)」を参照してください。
+ `ec2RoleDelivery` – Amazon EC2 インスタンスメタデータサービスバージョン 1 (IMDSv1) によって認証情報が提供された場合、値は `1.0` です。新しい IMDS スキームを使用して認証情報が提供された場合、値は `2.0` です。

  AWS Amazon EC2 Instance Metadata Service (IMDS) によって提供される 認証情報には、ec2:RoleDelivery IAM コンテキストキーが含まれています。このコンテキストキーを使用すると、IAM ポリシー、リソースポリシー、またはservice-by-service AWS Organizations resource-by-resource新しいスキームの使用を簡単に適用できます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[インスタンスメタデータとユーザーデータ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)」を参照してください。
**オプション:** True

**`invokedBy`**  
Amazon EC2 Auto Scaling や AWS のサービス などの によって AWS のサービス リクエストが行われたときに、リクエストを行った の名前 AWS Elastic Beanstalk。このフィールドは、リクエストが AWS のサービスによって行われた場合にのみ表示されます。これには、転送アクセスセッション (FAS)、 AWS のサービス プリンシパル、サービスにリンクされたロール、または で使用されるサービスロールを使用するサービスによって行われるリクエストが含まれます AWS のサービス。  
**オプション:** True

**`invokedByDelegate`**  
 AWS アカウントの一時的な委任アクセスを使用して、製品プロバイダーによって行われたリクエストを追跡します。このフィールドは、製品プロバイダーが委任されたアクセス許可を使用して API リクエストを開始した場合にのみ表示されます。存在する場合、リクエストを行った製品プロバイダーアカウントに関する情報`invokedByDelegate`を提供します。この要素には次の属性があります。  
+ `accountId` – リクエストを開始した製品プロバイダーの AWS アカウント ID。
CloudTrail イベントでの委任アクセスの詳細と JSON の例については、*IAM ユーザーガイド*の[「一時的なセキュリティ認証情報の CloudTrail エントリ](https://docs.aws.amazon.com/IAM/latest/UserGuide/temporary-delegation-cloudtrail.html)」を参照してください。  
**オプション:** True

**`onBehalfOf`**  
リクエストが IAM アイデンティティセンターの呼び出し元によって行われた場合、`onBehalfOf` は、呼び出しが行われた IAM アイデンティティセンターのユーザー ID とアイデンティティストア ARN に関する情報を提供します。この要素には、次の属性があります。  
+ `userId` — 呼び出しが代理で実行された IAM アイデンティティセンターユーザーの ID。
+ `identityStoreArn` — 呼び出しが代理で実行された IAM アイデンティティセンターの、アイデンティティストアの ARN。
**オプション:** True

**`inScopeOf`**  
リクエストが Lambda や Amazon ECS AWS のサービスなどの の範囲内で行われた場合、リクエストに関連するリソースまたは認証情報に関する情報を提供します。この要素は次の属性を含むことができます:  
+ `sourceArn` – service-to-service リクエストを呼び出したリソースの ARN。
+ `sourceAccount` – `sourceArn` の所有者アカウント ID。`sourceArn` とともに表示されます。
+ `issuerType` – `credentialsIssuedTo` のリソースタイプ。例えば、`AWS::Lambda::Function`。
+ `credentialsIssuedTo` – 認証情報が発行された環境に関連するリソース。
**オプション:** True

**`credentialId`**  
リクエストの認証情報 ID です。呼び出し元がベアラートークン (IAM アイデンティティセンターが認証したアクセストークンなど) を使用している場合のみ、設定されます。  
**オプション:** True

## SAML およびウェブ ID フェデレーションを使用する AWS STS APIs の値
<a name="STS-API-SAML-WIF"></a>

AWS CloudTrail は、Security Assertion Markup Language (SAML AWS STS) とウェブ ID フェデレーションを使用して行われた logging AWS Security Token Service () API コールをサポートします。ユーザーが[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) と [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) API への呼び出しを行うと、CloudTrail は、コールを記録し、イベントを Amazon S3 バケットに配信します。

これらの API の `userIdentity` エレメントには、次の値が含まれています。

**`type`**  
ID のタイプ。  
+ `SAMLUser` – リクエストは、SAML アサーションを使用して行われました。
+ `WebIdentityUser` – リクエストは、ウェブ ID フェデレーションプロバイダーによって行われました。

**`principalId`**  
呼び出しを行ったエンティティの一意の識別子  
+ `SAMLUser` の場合、これは、`saml:namequalifier` キーと `saml:sub` キーの組み合わせです。
+ `WebIdentityUser` の場合は、これは、発行者、アプリケーション ID、ユーザー ID の組み合わせです。

**`userName`**  
呼び出しを行った ID の名前。  
+ `SAMLUser` の場合、これは、`saml:sub` キーです。
+ `WebIdentityUser` の場合、これはユーザー ID です。

**`identityProvider`**  
外部 ID プロバイダーのプリンシパル名。このフィールドは、`SAMLUser` または `WebIdentityUser` タイプに対してのみ表示されます。  
+ `SAMLUser` の場合、これは、SAML アサーションの `saml:namequalifier` キーです。
+ `WebIdentityUser` の場合、これは、ウェブ ID フェデレーションプロバイダーの発行者の名前です。これは、次のように設定したプロバイダーになります。
  + `cognito-identity.amazon.com` Amazon Cognito for iOS
  + Login with Amazon の場合 `www.amazon.com`
  + Google の場合 `accounts.google.com`
  + Facebook の場合 `graph.facebook.com`

`AssumeRoleWithWebIdentity` アクションの `userIdentity` エレメントの例を次に示します。

```
"userIdentity": {
    "type": "WebIdentityUser",
    "principalId": "accounts.google.com:{{application-id}}.apps.googleusercontent.com:{{user-id}}",
    "userName": "{{user-id}}",
    "identityProvider": "accounts.google.com"
  }
```

`SAMLUser` および `WebIdentityUser`タイプの `userIdentity`要素がどのように表示されるかのログ例については、[「 を使用した IAM および AWS STS API 呼び出しのログ記録 AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html)」を参照してください。

## AWS STS ソース ID
<a name="STS-API-source-identity"></a>

IAM 管理者は、ユーザーが一時的な認証情報を使用してロールを引き受けるときに ID を指定する AWS Security Token Service ように を設定できます。`sourceIdentity` フィールドは、ユーザーが IAM ロールを引き受けるとき、または引き受けたロールでアクションを実行するときに、イベントで発生します。

`sourceIdentity` フィールドは、リクエストを行う元のユーザーアイデンティティを識別します。そのユーザーのアイデンティティが IAM ユーザー、IAM ロール、SAML ベースのフェデレーションを使用して認証されたユーザー、OpenID Connect (OIDC) 準拠のウェブ ID フェデレーションを使用して認証されたユーザーのいずれであるかを示します。IAM 管理者が を設定すると AWS STS、CloudTrail はイベントレコード内の次のイベントと場所に`sourceIdentity`情報をログに記録します。
+ ユーザー ID `AssumeRoleWithWebIdentity`がロールを引き受けるときに行う AWS STS `AssumeRole`、`AssumeRoleWithSAML`、または AWS STS 呼び出し。 `sourceIdentity`は呼び出しの `requestParameters`ブロックにあります。
+ ロールチェーンと呼ばれる別のロールを引き受けるために`AssumeRoleWithWebIdentity`ユーザー ID が行う `AssumeRoleWithSAML`、、または AWS STS `AssumeRole` AWS STS 呼び出し[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining)。 `sourceIdentity`は呼び出しの `requestParameters`ブロックにあります。
+ ロールを引き受け、 によって割り当てられた一時的な認証情報を使用しているときにユーザー ID が行う AWS サービス API 呼び出し AWS STS。サービス API イベントでは、`sourceIdentity` は、`sessionContext` ブロックにあります。例えば、ユーザーアイデンティティによって新しい S3 バケットが作成された場合、`sourceIdentity` は、`CreateBucket` イベントの `sessionContext` ブロックで発生します。

ソース ID 情報を収集 AWS STS するように を設定する方法の詳細については、*IAM ユーザーガイド*の[「引き受けたロールで実行されたアクションのモニタリングと制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html)」を参照してください。CloudTrail にログ記録される AWS STS イベントの詳細については、IAM **[ユーザーガイドの「 を使用した IAM および AWS STS API 呼び出しのログ記録 AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html)」を参照してください。

以下は、`sourceIdentity` フィールドを表示するイベントのスニペットの例です。

**`requestParameters` セクションの例**

次のイベントスニペット例では、ユーザーは AWS STS `AssumeRole`リクエストを行い、ここで で表されるソース ID を設定します`{{source-identity-value-set}}`。ユーザーは、ロール ARN `arn:aws:iam::123456789012:role/Assumed_Role` で表されるロールを引き受けます。`sourceIdentity` フィールドが `requestParameters` イベントのブロックです。

```
"eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AIDAJ45Q7YFFAREXAMPLE",
        "accountId": "123456789012"
    },
    "eventTime": "2020-04-02T18:20:53Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "203.0.113.64",
    "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
    "requestParameters": {
        "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
        "roleSessionName": "Test1",
        "sourceIdentity": "{{source-identity-value-set}}",
    },
```

**`responseElements` セクションの例**

次のイベントスニペットの例では、ユーザーは という名前のロールを引き受けるリクエストを行い AWS STS `AssumeRole``Developer_Role`、ソース ID として を設定します`Admin`。ユーザーは、ロール ARN `arn:aws:iam::111122223333:role/Developer_Role` で表されるロールを引き受けます。`sourceIdentity` フィールドは、イベントの `requestParameters` および `responseElements` 両方のブロックで表示されます。ロールを引き受けるために使用される一時的な認証情報、セッショントークン文字列、引き受けるロール ID、セッション名、セッション ARN は、`responseElements` ブロックで、ソースアイデンティティとともに表示されます。

```
    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
        "roleSessionName": "Session_Name",
        "sourceIdentity": "Admin"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "expiration": "Jan 22, 2021 12:46:28 AM",
            "sessionToken": "XXYYaz...
                             EXAMPLE_SESSION_TOKEN
                             XXyYaZAz"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
            "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
        },
        "sourceIdentity": "Admin"
    }
...
```

**`sessionContext` セクションの例**

次のイベントスニペット例では、ユーザーは という名前のロールを引き受け`DevRole`て AWS サービス API を呼び出します。ユーザーは、ソースアイデンティティを設定します。ここでは {{source-identity-value-set}} を例としてあげます。`sourceIdentity` フィールドはイベントの `userIdentity` ブロック内では `sessionContext` ブロックにあります。

```
{
  "eventVersion": "1.08",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
    "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
    "accountId": "123456789012",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAJ45Q7YFFAREXAMPLE",
        "arn": "arn: aws: iam: : 123456789012: role/DevRole",
        "accountId": "123456789012",
        "userName": "DevRole"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2021-02-21T23: 46: 28Z"
      },
      "sourceIdentity": "{{source-identity-value-set}}"
    }
  }
}
```