Теперь вы сможете легко определить удостоверение, отвечающее за действия, выполняемые с использованием ролей IAM
Управление идентификацией и доступом AWS (IAM) теперь помогает быстрее и проще определить того, кто отвечает за действие AWS, выполняемое ролью IAM при просмотре журналов AWS CloudTrail. Добавление в политику IAM нового условия для службы, sts:RoleSessionName, позволяет определить имя сеанса для роли, которое необходимо указать, когда доверитель IAM (пользователь или роль) или приложение принимает на себя роль IAM. AWS добавляет имя сеанса для роли в журнал AWS CloudTrail, когда роль IAM выполняет действие, что позволяет быстрее и проще определить того, кто это действие выполнил.
Например, вы храните данные о ценах на продукты в базе данных Amazon DynamoDB в своем аккаунте AWS и хотите предоставить своим партнерам по рекламе доступ к этим данным из другого аккаунта AWS в компании. Для этого вы можете выделить в своем аккаунте AWS роль IAM, которую примут партнеры по рекламе для доступа к данным о ценах. Затем вы можете использовать условие sts:RoleSessionName в политике доверия ролей роли IAM, чтобы ваши партнеры по рекламе указывали свое имя пользователя AWS в качестве имени сеанса для роли при принятии на себя роли IAM. В журнале AWS CloudTrail будут отражены действия партнера по рекламе, использующего роль IAM, а имя пользователя AWS партнера по рекламе будет зарегистрировано в качестве имени сеанса для роли. Имя пользователя AWS будет отображаться в ARN для роли IAM при просмотре журналов AWS CloudTrail. Теперь вы можете легко определить, какие действия конкретный партнер по рекламе выполнил в вашем аккаунте AWS.
Чтобы узнать больше о новом условии sts:RoleSessionName, ознакомьтесь с документацией по IAM.