使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用

IAM 和 AWS STS 与 AWS CloudTrail 集成,后者是一项服务,它提供 IAM 用户或角色所采取的操作的记录。CloudTrail 将对 IAM 和 AWS STS 的所有 API 调用作为事件捕获,包括来自控制台和 API 调用的调用。如果您创建了跟踪,则可以使 CloudTrail 事件持续传送到 Amazon S3 存储桶。如果您不配置跟踪,则仍可在 CloudTrail 控制台的 Event history (事件历史记录) 中查看最新事件。可使用 CloudTrail 获取有关对 IAM 或 AWS STS 发出的请求的信息。例如,您可以查看发出请求的源 IP 地址、用户、时间以及其他详细信息。

委托人类型 IAM/STS API 调用账户的 CloudTrail 日志中的用户身份 角色所有者账户的 CloudTrail 日志中的用户身份 后续 API 调用角色所有者的 CloudTrail 日志中的用户身份
AWS 账户根用户 凭证 GetSessionToken 根身份 角色所有者账户与调用账户相同 根身份
IAM 用户 GetSessionToken IAM 用户身份 角色所有者账户与调用账户相同 IAM 用户身份
IAM 用户 GetFederationToken IAM 用户身份 角色所有者账户与调用账户相同 IAM 用户身份
IAM 用户 AssumeRole IAM 用户身份 账号和委托人 ID(如果是用户)或 AWS 服务委托人 仅角色身份(无用户)
外部验证的用户 AssumeRoleWithSAML SAML 用户身份 仅角色身份 (无用户)
外部验证的用户 AssumeRoleWithWebIdentity OIDC/Web 用户身份 仅角色身份 (无用户)

临时凭证请求的记录方式 – 当委托人请求临时凭证时,委托人类型将决定 CloudTrail 记录事件的方式。下表说明 CloudTrail 如何为每个生成临时凭证的 API 调用记录不同的信息。

原文地址:https://www.cnblogs.com/cloudrivers/p/11620834.html

时间: 2024-10-09 03:46:05

使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用的相关文章

亚马逊AWS在线系列讲座——基于AWS云平台的高可用应用设计

设计高可用的应用是架构师的一个重要目标,但是基于云计算平台设计高可用应用与基于传统平台的设计有许多不同.云计算在给架构师带来了许多新的设计挑战的时候,也给带来了许多新的设计理念和可用的服务.如何在设计应用的时候充分利用云平台的各种特点是基于云计算设计的一个重要条件.在这个在线讲座中,我们将以亚马逊AWS云平台为例,讨论如何设计一个高可用应用. 我们先会根据AWS服务是否天然高可用.高容错的特点把常见的AWS服务分类.比如AWS把下面服务设计成高可用和高容错的服务: ·     Amazon S3

JavaScript学习记录day5-函数的定义和调用

JavaScript学习记录day5-函数的定义和调用 [TOC] 1. 定义函数 在JavaScript中,定义函数的方式如下: function abs(x) { if (x >= 0) { return x; } else { return -x; } } 上述abs()函数的定义如下: function指出这是一个函数定义:abs是函数的名称:(x)括号内列出函数的参数,多个参数以,分隔:{ ... }之间的代码是函数体,可以包含若干语句,甚至可以没有任何语句.请注意,函数体内部的语句在

AWS S3 让IAM用户可以list bucket

使用Cloudberry Explorer是,如果没有加入此权限,用户是无法在打开软件的时候自动让其列出所有S3 bucket的,因此在IAM中需要给用户加上这个S3的Permission policy如下: {"Statement": [{"Effect": "Allow","Action": "s3:","Resource": ""}]} 这样的话,点选加载的账户

重新开始继续准备AWS Dev认证考试:AWS Lambda 环境变量

利用 Lambda 函数的环境变量,您可以将设置动态传递到函数代码和库,而无需对代码进行任何更改.环境变量是您使用 AWS Lambda 控制台.AWS Lambda CLI 或 AWS Lambda 开发工具包作为函数配置的一部分创建并修改的密钥值对.AWS Lambda 随后会使用相应语言所支持的标准 API(如适用于 Node.js 函数的 process.env 将这些密钥值对提供给您的 Lambda 函数代码. 您可以使用环境变量帮助库了解以下信息:安装文件的目录.存储输出的位置.存储

[AWS Lambda] Scheduling Events with AWS Lambda (a.k.a. Lambda cron jobs)

Learn how to create AWS Lambda functions that execute on a scheduled interval, much like a cron job would. In this lesson we will create a Lambda function that checks for a string of text on a website to verify the website is up and operational. The

[Notes] AWS Automation using script and AWS CLI

(c) 2014 Amazon Web Services, Inc. and its afflialtes, All rights reserved. The content in this file is copied from qwikLABS - Automating AWS Services with Scripting and the AWS CLI Please respect the rights. Putty: a Secure Shell(SSH) client that wi

AWS探索及创建一个aws EC2实例

一.AWS登陆 1.百度搜索aws 2.输入账户及密码登陆(注册流程按照提示走即可) 二.创建EC2实例(相当于阿里云的ecs) 1.找到EC2 2.创建实例 3.选择系统类型(个人习惯用CentOS,根据情况选择吧) 系统版本 4.选择配置(新用户有免费一年的实例类型) 5.配置实例 6.可以选择添加数据盘 7.添加服务器标签 8.配置安全组信息 9.确认信息 10.查看实例 至此.一个aws的EC2实例就购买完成了!! 原文地址:https://www.cnblogs.com/hei-ma/

记录Android端百度地图API使用遇到的问题

折腾了两三个夜晚,终于实现了百度地图在Android端的显示: 在这里主要总结记录一下百度地图API在Win 10 下的Android Studio中使用遇到的问题: 1.查看本机android或app的SHA1值 SHA1值用来在百度开发者控制台创建应用使用~~ 我的电脑是Win10系统,安装Android Studio的时候也没有配置jdk环境变量这些,所以在查看SHA1值得时候遇到一些问题,百度官方提供的方法是通过cmd控制台命令查看,“keytool -list -v -keystore

Android应用记录一:有道翻译API调用

因为某些原因,我需要记单词,而且讨厌广告,所以就想着自己写个能够查自己不认识的单词并且以后可以随时查看的APP. 首先我需要调用一个翻译API,中文翻译比较好用的API有有道翻译API,百度翻译API等,因为先期用过百度地图API,觉得很好用,所以我先查阅了百度翻译API 觉得还不错,因为我写的APP是给自己用的,所以这肯定够用,然后我就申请了一个API接口,当我看了文档之后,百度为了安全的原因,在现版本的接口中加入了签名,通过一定的输入序列形成MD5序列,而这个感觉有点麻烦,虽然我后来试了下,