Publicado en: Apr 21, 2020
A partir de ahora, AWS Identity and Access Management (IAM) hace que sea más sencillo identificar quién es el responsable de una acción de AWS realizada a través de un rol de IAM cuando visualice los registros de AWS CloudTrail. Al agregar la nueva condición específica de servicio, sts:RoleSessionName, a una política de IAM, puede definir el nombre de sesión del rol que debe establecerse cuando un principal de IAM (usuario o rol) o una aplicación asuma el rol de IAM. AWS agrega el nombre de sesión del rol al registro de AWS CloudTrail cuando el rol de IAM realiza una acción, para que sea más fácil determinar quién ha realizado la acción.
Por ejemplo, si almacena datos de precios de productos en una base de datos de Amazon DynamoDB en su cuenta de AWS, es posible que quiera garantizar a sus socios de marketing el acceso a esos datos desde una cuenta de AWS diferente dentro de la empresa. Para conseguirlo, puede dedicar un rol de IAM en su cuenta de AWS el cual sus socios de marketing asumirán para acceder a los datos de precios. Puede utilizar la condición sts:RoleSessionName en la política de confianza del rol de IAM para garantizar que sus socios de marketing establezcan su nombre de usuario de AWS como el nombre de sesión del rol cuando asuman el rol de IAM. El registro de AWS CloudTrail capturará las actividades del socio de marketing que utilice el rol de IAM y registrará el nombre de usuario de AWS del socio de marketing como el nombre de sesión del rol. El nombre de usuario de AWS se mostrará en el ARN del rol de IAM cuando usted visualice los registros de AWS CloudTrail. De este modo, ahora puede identificar con facilidad qué acciones ha llevado a cabo en su cuenta de AWS un socio de marketing en concreto.
Para obtener más información sobre la nueva condición, sts:RoleSessionName, consulte la documentación de IAM.