Publié le: Apr 21, 2020
AWS Identity and Access Management (IAM) permet désormais d'identifier facilement le responsable d'une action AWS effectuée par un rôle IAM en consultant les journaux AWS CloudTrail. L'ajout de la nouvelle condition spécifique « sts:RoleSessionName » dans une stratégie IAM vous permet de déterminer le nom de session du rôle à définir lorsqu'un utilisateur ou rôle IAM, ou bien une application, assume le rôle IAM. AWS ajoute le nom de session du rôle au journal AWS CloudTrail lorsque le rôle IAM effectue une action, ce qui permet d'en déterminer facilement l'auteur.
Par exemple, imaginons que vous stockez des données de tarification de produits au sein d'une base de données Amazon DynamoDB de votre compte AWS, et que vous souhaitez les rendre accessibles à vos partenaires marketing d'un autre compte AWS de votre entreprise. Pour ce faire, vous pouvez attribuer à vos partenaires marketing un rôle IAM de votre compte AWS. Ils pourront ainsi l'utiliser pour accéder aux données tarifaires. Utilisez alors la condition sts:RoleSessionName dans la stratégie d'approbation du rôle IAM, afin que vos collaborateurs définissent leur nom d'utilisateur AWS en tant que nom de session du rôle lorsque ces derniers assument le rôle IAM. Le journal AWS CloudTrail capturera les activités des partenaires marketing utilisant le rôle IAM et enregistrera leur nom d'utilisateur AWS en tant que nom de session du rôle. Le nom d'utilisateur AWS apparaîtra dans l'ARN du rôle IAM dans vos journaux AWS CloudTrail. Ainsi, vous pourrez identifier facilement les actions effectuées par un partenaire marketing spécifique dans votre compte AWS.
Pour en savoir plus sur la nouvelle condition sts:RoleSessionName, consultez la documentation d'IAM.