发布于: Apr 21, 2020
AWS Identity and Access Management (IAM) 现在可以更容易地在查看 AWS CloudTrail 日志时识别出 IAM 角色执行的 AWS 操作是由谁负责的。在 IAM 策略中添加新的服务特定条件 sts:RoleSessionName 让您可以定义角色会话名称,该名称必须在 IAM 委托人(用户或角色)或应用程序代入 IAM 角色时设置。当 IAM 角色执行操作时,AWS 将角色会话名称添加到 AWS CloudTrail 日志中,以便轻松确定是谁执行的操作。
例如,您将产品定价数据存储在您的 AWS 账户中的 Amazon DynamoDB 数据库中并且想要从公司内的另一个 AWS 账户授权您的营销合作伙伴访问该产品定价数据。要实现此目的,您可以在您的 AWS 账户中指定一个 IAM 角色,由您的营销合作伙伴代入该角色来访问定价数据。然后,您可以在 IAM 角色的角色信任策略中使用 sts:RoleSessionName 条件,确保您的营销合作伙伴在代入 IAM 角色时将其 AWS 用户名设置为角色会话名称。AWS CloudTrail 日志将使用 IAM 角色获取营销合作伙伴的活动,并将营销合作伙伴的 AWS 用户名记录为角色会话名称。当您查看您的 AWS CloudTrail 日志时,AWS 用户名将显示在 IAM 角色的 ARN 中。这样一来,您现在可以轻松确定特定营销合作伙伴在您的 AWS 账户中执行了哪些操作。
要了解有关新条件 sts:RoleSessionName 的更多信息,请访问 IAM 文档。