本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 CloudTrail 日志中包括 IAM 身份中心用户上下文
Lake Formation 使用凭证售卖功能提供对 Amazon S3 数据的临时访问权限。默认情况下,当 IAM Identity Center 用户向集成分析服务提交查询时, CloudTrail 日志仅包含该服务为提供短期访问而承担的 IAM 角色。如果您使用用户定义的角色向 Lake Formation 注册 Amazon S3 数据位置,则可以选择在 CloudTrail 事件中包含 IAM 身份中心用户的上下文,然后跟踪访问您资源的用户。
重要
要在中包含对象级的 Amazon S3 API 请求 CloudTrail,您需要为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录。有关更多信息,请参阅 Amazon S3 用户指南中的为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录。
在使用用户定义的角色注册的数据湖位置上启用凭证售卖审计
-
登录 Lake Formation 控制台,网址为https://console.aws.amazon.com/lakeformation/
。 -
在左侧导航中,展开管理,然后选择数据目录设置。
-
在增强审计下,选择传播提供的上下文。
-
选择保存。
您也可以通过在PutDataLakeSettings操作中设置Parameters属性来启用增强审计选项。默认情况下,SET_CONTEXT" 参数值设置为 true。
{ "DataLakeSettings": { "Parameters": {"SET_CONTEXT": "true"}, } }
以下是带有增强审计选项 CloudTrail 的事件的摘录。此日志包括 IAM Identity Center 用户的会话上下文和 Lake Formation 为访问 Amazon S3 数据位置而代入的用户定义的 IAM 角色。参见以下摘录中的 onBehalfOf 参数。
{ "eventVersion":"1.09", "userIdentity":{ "type":"AssumedRole", "principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab", "arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab", "accountId":"123456789012", "accessKeyId":"ASIAW7F7MOX4CQLD4JIZN", "sessionContext":{ "sessionIssuer":{ "type":"Role", "principalId":"AROAW7F7MOX4OYE6FLIFN", "arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole", "accountId":"123456789012", "userName":"accessGrantsTestRole" }, "attributes":{ "creationDate":"2023-08-09T17:24:02Z", "mfaAuthenticated":"false" } }, "onBehalfOf":{ "userId": "<identityStoreUserId>", "identityStoreArn": "arn:aws:identitystore::<restOfIdentityStoreArn>" } }, "eventTime":"2023-08-09T17:25:43Z", "eventSource":"s3.amazonaws.com", "eventName":"GetObject", ....