CloudTrail

제품 제공업체가 임시 위임된 액세스를 사용하여 수행하는 모든 작업은 AWS CloudTrail에 자동으로 로깅됩니다. 이를 통해 AWS 계정에서 제품 제공업체 활동을 완벽하게 파악하고 감사할 수 있습니다. 제품 제공업체가 어떤 작업을 수행했는지, 언제 수행했는지, 어떤 제품 제공업체 계정에서 수행했는지 식별할 수 있습니다.

자체 IAM 위탁자가 수행한 작업과 액세스 권한이 위임된 제품 제공업체가 수행한 작업을 구분하는 데 도움이 되도록 CloudTrail 이벤트에는 userIdentity 요소 아래에 invokedByDelegate라는 새 필드가 포함됩니다. 이 필드에는 제품 제공업체의 AWS 계정 ID가 포함되어 있으므로 위임된 모든 작업을 쉽게 필터링하고 감사할 수 있습니다.

CloudTrail 이벤트 구조

다음 예시는 제품 제공업체가 임시 위임된 액세스를 사용하여 수행한 작업에 대한 CloudTrail 이벤트를 보여줍니다.

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

invokedByDelegate 필드에는 위임된 액세스를 사용하여 작업을 수행한 제품 제공업체의 AWS 계정 ID가 포함됩니다. 이 예시의 경우 계정 444455556666(제품 제공업체)이 계정 111122223333(고객 계정)에서 작업을 수행했습니다.