CloudTrail - AWS Identity and Access Management
Estrutura de eventos do CloudTrail

CloudTrail

Todas as ações realizadas pelos provedores de produtos usando acesso delegado temporário são registradas automaticamente no AWS CloudTrail. Isso fornece uma visibilidade e auditabilidade completas da atividade do provedor do produto em sua conta da AWS. Você pode identificar quais ações foram executadas pelos provedores de produtos, quando elas ocorreram e qual conta de provedor de produto as executou.

Para ajudar você a distinguir entre as ações executadas por suas próprias entidades principais do IAM e aquelas realizadas por provedores de produtos com acesso delegado, os eventos do CloudTrail incluem um novo campo chamado invokedByDelegate abaixo do elemento userIdentity. Esse campo contém o ID da conta da AWS do provedor do produto, facilitando a filtragem e a auditoria de todas as ações delegadas.

Estrutura de eventos do CloudTrail

O exemplo abaixo mostra uma evento do CloudTrail para uma ação realizada por um provedor de produtos usando acesso delegado temporário:

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

O campo invokedByDelegate contém o ID da conta da AWS do provedor do produto que executou a ação usando o acesso delegado. Neste exemplo, a conta 444455556666 (o provedor do produto) executou uma ação na conta 111122223333 (a conta do cliente).