使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用

Posted cloudrivers

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用相关的知识,希望对你有一定的参考价值。

IAM 和 AWS STS 与 AWS CloudTrail 集成,后者是一项服务,它提供 IAM 用户或角色所采取的操作的记录。CloudTrail 将对 IAM 和 AWS STS 的所有 API 调用作为事件捕获,包括来自控制台和 API 调用的调用。如果您创建了跟踪,则可以使 CloudTrail 事件持续传送到 Amazon S3 存储桶。如果您不配置跟踪,则仍可在 CloudTrail 控制台的 Event history (事件历史记录) 中查看最新事件。可使用 CloudTrail 获取有关对 IAM 或 AWS STS 发出的请求的信息。例如,您可以查看发出请求的源 IP 地址、用户、时间以及其他详细信息。

委托人类型IAM/STS API调用账户的 CloudTrail 日志中的用户身份角色所有者账户的 CloudTrail 日志中的用户身份后续 API 调用角色所有者的 CloudTrail 日志中的用户身份
AWS 账户根用户 凭证 GetSessionToken 根身份 角色所有者账户与调用账户相同 根身份
IAM 用户 GetSessionToken IAM 用户身份 角色所有者账户与调用账户相同 IAM 用户身份
IAM 用户 GetFederationToken IAM 用户身份 角色所有者账户与调用账户相同 IAM 用户身份
IAM 用户 AssumeRole IAM 用户身份 账号和委托人 ID(如果是用户)或 AWS 服务委托人 仅角色身份(无用户)
外部验证的用户 AssumeRoleWithSAML SAML 用户身份 仅角色身份 (无用户)
外部验证的用户 AssumeRoleWithWebIdentity OIDC/Web 用户身份 仅角色身份 (无用户)

临时凭证请求的记录方式 – 当委托人请求临时凭证时,委托人类型将决定 CloudTrail 记录事件的方式。下表说明 CloudTrail 如何为每个生成临时凭证的 API 调用记录不同的信息。

以上是关于使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用的主要内容,如果未能解决你的问题,请参考以下文章

AWS学习笔记--启用CloudTrail记录AWS 账户操作日志

CloudTrail 的工作原理

AWS Athena 分析日志

我如何监视用户对AWS S3的访问?

sql 适用于CloudTrail日志的AWS Athena表

如何使用STS GetCallerIdentity Caller JSTS以stringjson的形式返回AWS IAM用户。