发布于: Apr 21, 2020
Amazon Identity and Access Management (IAM) 现在允许您在查看 Amazon CloudTrail 日志时更轻松识别使用某个 IAM 角色执行的 亚马逊云科技操作的身份。通过在 IAM 策略中添加新的服务特定条件 sts:RoleSessionName,您可以定义在 IAM 委托人(用户或角色)或应用程序代入 IAM 角色时必须设置的角色会话名称。当 IAM 角色执行操作时,亚马逊云科技会将该角色会话名称添加到 Amazon CloudTrail 日志中,从而轻松确定执行操作的人员。
例如,您将产品定价数据存储在您 亚马逊云科技账户的一个 Amazon DynamoDB 数据库中,并希望授权本公司其他 亚马逊云科技账户中的营销合作伙伴访问该产品定价数据。为此,您可以在 亚马逊云科技账户中指定一个 IAM 角色,然后允许您的营销合作伙伴代入该角色以访问定价数据。随后,您可以在 IAM 角色的角色信任策略中使用 sts:RoleSessionName 条件,以确保您的营销合作伙伴在代入该 IAM 角色时将其 亚马逊云科技用户名设置为其角色会话名称。Amazon CloudTrail 日志将捕获使用该 IAM 角色的营销合作伙伴实施的活动,并将该营销合作伙伴的用户名记录为角色会话名称。当您查看 Amazon CloudTrail 日志时,该 亚马逊云科技用户名将在该 IAM 角色的 ARN 中显示。借助此功能,您现在可以轻松识别特定营销合作伙伴在您的 亚马逊云科技账户中执行的操作。
要了解有关新条件 sts:RoleSessionName 的更多信息,请访问 IAM 文档。