Publicado: Apr 21, 2020
O AWS Identity and Access Management (IAM) agora facilita a identificação de quem é responsável por uma ação da AWS executada por uma função do IAM na visualização de logs do AWS CloudTrail. Com a inclusão da nova condição específica ao serviço, sts:RoleSessionName, em uma política do IAM, você pode definir o nome da sessão da função que deve ser definida quando um aplicativo ou um elemento principal do IAM (usuário ou função) assume a função do IAM. A AWS adiciona o nome da sessão da função ao log do AWS CloudTrail quando a função do IAM executa uma ação. Dessa forma, fica fácil determinar quem executou a ação.
Por exemplo, você armazena dados de definição de preço em um banco de dados do Amazon DynamoDB em sua conta da AWS e deseja conceder a seus parceiros de marketing uma conta AWS diferente da empresa, acesso aos dados de definição de preço de produto. Para que isso seja possível, você pode dedicar uma função do IAM em sua conta da AWS, que seus parceiros de marketing presumirão para acessar os dados de definição de preço. Você pode usar a condição sts:RoleSessionName na política de confiança de função da função do IAM, para garantir que seus parceiros de marketing definam o nome de usuário da AWS como nome da sessão da função quando assumirem a função do IAM. O log do AWS CloudTrail capturará as atividades do parceiro de marketing usando a função do IAM e gravará o nome de usuário da AWS do parceiro de marketing como o nome da sessão da função. O nome de usuário da AWS aparecerá no ARN da função do IAM quando você visualizar os logs do AWS CloudTrail. Com isso, agora é possível identificar facilmente quais ações foram executadas em sua conta da AWS por um parceiro de marketing específico.
Para saber mais sobre a nova condição, sts:RoleSessionName, acesse a Documentação do IAM.