IAM操作で撮影したユーザーまたはロールの記録を提供するサービスですAWS CloudTrailおよびAWS STS統合、とIAM。すべてのAPI CloudTrail IAMおよびAWS STSは、コンソールからのコールとAPI呼び出しを含め、イベントキャプチャとして呼び出します。あなたがトラックを作成する場合は、CloudTrailイベントがAmazon S3のバケットに転送持続することができます。あなたが追跡を設定しない場合、あなたはまだCloudTrailコンソールできる イベント履歴(イベント履歴)は 、最新のイベントを表示します。あなたは、放出されるCloudTrail IAMやAWS STSの要求についての情報を取得するために使用することができます。たとえば、発行された要求元のIPアドレス、ユーザー、時間やその他の詳細を表示することができます。
主なタイプ | IAM / STS API | コールアカウントにログインするCloudTrailユーザー | ユーザーのアイデンティティCloudTrail役割所有者アカウントログに | ユーザIDをログCloudTrail、後続のAPI呼び出しを所有者の役割に |
---|---|---|---|---|
AWS rootユーザアカウントの資格情報 | GetSessionToken | ルートアイデンティティ | 役割の所有者は、呼び出すために同じアカウントでアカウント | ルートアイデンティティ |
IAMユーザー | GetSessionToken | IAMユーザーID | 役割の所有者は、呼び出すために同じアカウントでアカウント | IAMユーザーID |
IAMユーザー | GetFederationToken | IAMユーザーID | 役割の所有者は、呼び出すために同じアカウントでアカウント | IAMユーザーID |
IAMユーザー | AssumeRole | IAMユーザーID | アカウントとクライアントID(ユーザーの場合)またはAWSサービスクライアント | 身元の唯一の役割(ユーザーなし) |
外部ユーザ認証 | AssumeRoleWithSAML | ノー | SAMLユーザーID | 身元の唯一の役割(ユーザーなし) |
外部ユーザ認証 | AssumeRoleWithWebIdentity | ノー | OIDC / WebユーザーのID | 身元の唯一の役割(ユーザーなし) |
スクリップは、録画モードを要求 - クライアントは一時的な資格情報を要求すると、主な種類はイベントを記録CloudTrail方法を決定します。次の表は、一時的な認証情報を生成するために、各APIのためにどのように異なるCloudTrailの通話記録情報を示しています。