Veröffentlicht am: Apr 21, 2020
AWS Identity and Access Management (IAM) vereinfacht bei der Anzeige von AWS CloudTrail-Protokollen ab sofort die Identifizierung der Verantwortlichen für AWS-Aktionen, die mit einer IAM-Rolle durchgeführt wurden. Die Aufnahme der neuen servicespezifischen Bedingung sts:RoleSessionName in eine IAM-Richtlinie ermöglicht Ihnen, den Rollensitzungsnamen festzulegen, der verwendet werden muss, wenn ein IAM-Prinzipal (Nutzer oder Rolle) oder eine Anwendung eine IAM-Rolle annehmen. AWS fügt den Rollensitzungsnamen zum AWS CloudTrail-Protokoll hinzu, wenn die IAM-Rolle eine Aktion ausführt, sodass die Identität des Ausführenden leicht festgestellt werden kann.
Beispiel: Sie speichern Produktpreisdaten in einer Amazon DynamoDB-Datenbank Ihres AWS-Kontos und möchten Marketing-Partnern mit einem anderen Konto innerhalb des Unternehmens Zugang zu diesen Daten ermöglichen. Hierzu können Sie eine IAM-Rolle in Ihrem AWS-Konto festlegen, die Ihre Marketing-Partner annehmen, um auf die Preisdaten zugreifen zu können. Verwenden Sie dann die Bedingung sts:RoleSessionName in der Vertrauensrichtlinie der IAM-Rolle, um sicherzustellen, dass Ihre Marketing-Partner beim Annehmen der IAM-Rolle ihren AWS-Benutzernamen als Rollensitzungsnamen nutzen. Das AWS CloudTrail-Protokoll erfasst die Aktivitäten, die Ihr Marketing-Partner mit der IAM-Rolle ausführt, und speichert den AWS-Benutzernamen des Partners als Rollensitzungsnamen. Bei der Anzeige der AWS CloudTrail-Protokolle erscheint der AWS-Benutzername im ARN der IAM-Rolle. So können Sie schnell und einfach feststellen, welche Aktionen ein bestimmter Marketing-Partner in Ihrem AWS-Konto ausgeführt hat.
Weitere Informationen zur neuen Bedingung sts:RoleSessionName erhalten Sie in der IAM-Dokumentation.