張貼日期: Apr 21, 2020
AWS Identity and Access Management (IAM) 現在可讓您在檢視 AWS CloudTrail 日誌時,輕易識別何人需為 IAM 角色執行之 AWS 動作負責。在 IAM 政策中新增服務特定條件 sts:RoleSessionName,可讓您定義在 IAM 主體 (使用者或角色) 或應用程式擔任 IAM 角色時必須設定的角色工作階段名稱。AWS 會在 IAM 角色執行動作時,將角色工作階段名稱新增至 AWS CloudTrail 日誌,以便於判斷何人執行該動作。
例如,您將產品定價資料存放於您的 AWS 帳戶中的 Amazon DynamoDB 資料庫,並希望將產品定價資料的存取權限授予公司中不同 AWS 帳戶的行銷合作夥伴。為達成此項作業,您可以在您的 AWS 帳戶中指定一個 IAM 角色,讓您的行銷合作夥伴擔任該角色以存取定價資料。然後,您可以在該 IAM 角色的角色信任政策中使用 sts:RoleSessionName 條件,以確保您的行銷合作夥伴在擔任該 IAM 角色時,將其 AWS 使用者名稱設定為該角色工作階段名稱。AWS CloudTrail 日誌會擷取該行銷合作夥伴使用該 IAM 角色所從事的活動,並將行銷合作夥伴的 AWS 使用者名稱記錄為角色工作階段名稱。當您檢視 AWS CloudTrail 日誌時,AWS 使用者名稱將會顯示在 IAM 角色的 ARN 中。現在,您可以藉此輕易識別特定行銷合作夥伴在您的 AWS 帳戶中執行哪些動作。
要進一步了解新的條件 sts:RoleSessionName,請參閱 IAM 文件。