Inserito il: Apr 21, 2020
Ora AWS Identity and Access Management (IAM) consente di identificare con facilità il soggetto responsabile di un'operazione AWS eseguita da un ruolo IAM visualizzando i log AWS CloudTrail. Aggiungendo in una policy IAM la nuova condizione specifica per il servizio, sts:RoleSessionName, potrai definire il nome di sessione del ruolo che deve essere impostata quando un'applicazione o un utente o ruolo principale IAM assume il ruolo IAM. AWS aggiunge il nome di sessione del ruolo al log AWS CloudTrail quando il ruolo IAM esegue un'operazione, consentendo di stabilire con facilità il responsabile dell'operazione.
Ad esempio, hai archiviato dei dati sui prezzi dei prodotti in un database Amazon DynamoDB nel tuo account AWS e vuoi consentire ai partner di marketing di un account AWS diverso all'interno dell'azienda di accedere a tali dati. A questo scopo, puoi dedicare un ruolo IAM nel tuo account AWS che i tuoi partner di marketing potranno utilizzare per accedere ai dati sui prezzi. Potrai quindi utilizzare la condizione sts:RoleSessionName nella policy di affidabilità del ruolo di tale ruolo IAM per assicurare che i partner di marketing impostino il proprio nome utente AWS come nome di sessione del ruolo quando utilizzano il ruolo IAM. Il log AWS CloudTrail acquisirà le attività del partner di marketing utilizzando il ruolo IAM e registrerà il nome utente AWS del partner di marketing come nome di sessione del ruolo. Quando visualizzi i log AWS CloudTrail, il nome utente AWS sarà visualizzato nell'ARN del ruolo IAM. In questo modo, puoi identificare facilmente quali operazioni un dato partner di marketing ha eseguito nel tuo account AWS.
Per ulteriori informazioni sulla nuova condizione sts:RoleSessionName, consulta la documentazione IAM.