Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

CloudTrail

产品提供商使用临时委派访问权限执行的所有操作都会自动记录在 Amazon CloudTrail 中。这为 Amazon 账户中的产品提供商活动提供了全面的可见性和可审计性。您可以确定产品提供商采取了哪些操作、操作发生的时间以及执行这些操作的产品提供商账户。

为帮助您区分自己的 IAM 主体采取的操作和具有委派访问权限的产品提供商采取的操作，CloudTrail 事件在 userIdentity 元素下包含了一个名为 invokedByDelegate 的新字段。此字段包含产品提供商的 Amazon 账户 ID，可以轻松筛选和审计所有委派的操作。

CloudTrail 事件结构

以下示例显示产品提供商使用临时委派访问权限执行操作的 CloudTrail 事件：

{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

invokedByDelegate 字段包含使用委派访问权限执行操作的产品提供商的 Amazon 账户 ID。在此示例中，账户 444455556666（产品提供商）在账户 111122223333（客户账户）中执行了一项操作。