投稿日: Apr 21, 2020
AWS Identity and Access Management (IAM) により、AWS CloudTrail ログを表示するときに、IAM ロールによって実行される AWS アクションの担当者を簡単に特定できるようになりました。IAM ポリシーに新しいサービス固有の条件 sts:RoleSessionName を追加すると、IAM プリンシパル (ユーザーまたはロール) やアプリケーションが IAM ロールを引き受けるときに設定する必要があるロールセッション名を定義できます。AWS は、IAM ロールがアクションを実行するときに AWS CloudTrail ログにロールセッション名を追加するため、アクションを実行したユーザーを簡単に特定できます。
たとえば、製品の料金データを AWS アカウントの Amazon DynamoDB データベースに保存し、社内の別の AWS アカウントのマーケティングパートナーに製品の料金データへのアクセス権を付与するとします。これを実現するために、マーケティングパートナーが料金データにアクセスするために引き受ける AWS アカウントの IAM ロールを専用として使用できます。次に、IAM ロールのロール信頼ポリシーで sts:RoleSessionName 条件を使用して、マーケティングパートナーが IAM ロールを引き受けるときに、AWS ユーザー名をロールセッション名として設定できるようにします。AWS CloudTrail ログは、IAM ロールを使用してマーケティングパートナーのアクティビティをキャプチャし、ロールセッション名としてマーケティングパートナーの AWS ユーザー名を記録します。AWS CloudTrail ログを表示すると、AWS ユーザー名が IAM ロールの ARN に表示されます。これにより、特定のマーケティングパートナーが AWS アカウントで実行したアクションを簡単に識別できます。
新しい条件 sts:RoleSessionName の詳細については、IAM ドキュメントをご覧ください。