ActionTrail は Identity Management Service (IMS) に関連するイベントを記録します。 IMS 関連イベントの詳細をクエリして、イベント発生時刻、イベント発生リージョン、関連する RAM ユーザーなどの情報を取得できます。このトピックでは、IMS 関連イベントの 4 つのサンプルログを提供し、イベントログに含まれる主要フィールドについて説明します。
Alibaba Cloud アカウントを使用して RAM コンソールで RAM ユーザーを作成する
次のサンプルイベントログは、Alibaba Cloud アカウントが、ユーザー名が Alice@163205818484****.onaliyun.com である RAM ユーザーを、RAM コンソールで 2021 年 8 月 5 日 14:59:52 (UTC + 08:00) に作成したことを示しています。
{
"eventId": "80648075-F89C-555D-974B-78E436FE4331",
"eventVersion": 1,
"responseElements": {
"User": {
"UpdateDate": "2021-08-05T06:59:52Z",
"Email": "username@example.com",
"Comments": "",
"UserId": "21284212814679*****",
"LastLoginDate": "",
"DisplayName": "Alice",
"UserPrincipalName": "Alice@163205818484****.onaliyun.com",
"CreateDate": "2021-08-05T06:59:52Z",
"MobilePhone": "1381111****"
},
"RequestId": "80648075-F89C-555D-974B-78E436FE4331"
},
"eventSource": "ims-share.aliyuncs.com",
"requestParameters": {
"charset": "UTF-8",
"AcsHost": "ims-share.aliyuncs.com",
"AcsProduct": "Ims",
"RequestId": "80648075-F89C-555D-974B-78E436FE4331",
"DisplayName": "Alice",
"AcceptLanguage": "zh-CN",
"AkProxySuffix": "ram",
"UserPrincipalName": "Alice@163205818484****.onaliyun.com",
"HostId": "ims-share.aliyuncs.com"
},
"sourceIpAddress": "192.168.XX.XX",
"userAgent": "ram.console.alibabacloud.com",
"eventType": "ApiCall",
"referencedResources": {
"ACS::RAM::User": [
"Alice@163205818484****.onaliyun.com"
]
},
"userIdentity": {
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-08-05T06:59:52Z"
}
},
"accountId": "163205818484****",
"principalId": "163205818484****",
"type": "root-account",
"userName": "root"
},
"serviceName": "Ims",
"additionalEventData": {
"Scheme": "http",
"CallerBid": "26888"
},
"apiVersion": "2019-08-15",
"requestId": "80648075-F89C-555D-974B-78E436FE4331",
"eventTime": "2021-08-05T06:59:52Z",
"isGlobal": true,
"acsRegion": "cn-shanghai",
"eventName": "CreateUser"
}サンプルイベントログには、次の主要フィールドが含まれています。
userIdentity.type: リクエスタの ID タイプ。この例の値はroot-accountで、Alibaba Cloud アカウントを示します。serviceName: イベントに関連する Alibaba Cloud サービスの名前。この例の値はImsで、IMS を示します。eventName: イベントの名前。この例の値はCreateUserで、RAM ユーザーが作成されたことを示します。referencedResources: イベントに関連するリソース。この例の値は{"ACS::RAM::User": ["Alice@163205818484****.onaliyun.com"]}で、ユーザー名がAlice@163205818484****.onaliyun.comである RAM ユーザーを示します。eventTime: イベントが発生した時刻 (UTC)。この例の値は2021-08-05T06:59:52Zで、2021 年 8 月 5 日 14:59:52 (UTC + 08:00) を示します。
RAM ユーザーとして RAM コンソールで RAM ユーザーを作成する
次のサンプルイベントログは、ユーザー名が Alice である RAM ユーザーが、ユーザー名が test@189217171671****.onaliyun.com である RAM ユーザーを、RAM コンソールで 2021 年 8 月 5 日 14:44:37 (UTC + 08:00) に作成したことを示しています。
{
"eventId": "BB774582-E706-5B89-8540-84D9490D0F11",
"eventVersion": 1,
"responseElements": {
"User": {
"UpdateDate": "2021-08-05T06:44:37Z",
"Email": "username@example.com",
"Comments": "",
"UserId": "27688052814587****",
"LastLoginDate": "",
"DisplayName": "test",
"UserPrincipalName": "test@189217171671****.onaliyun.com",
"CreateDate": "2021-08-05T06:44:37Z",
"MobilePhone": "1381111****"
},
"RequestId": "BB774582-E706-5B89-8540-84D9490D0F11"
},
"eventSource": "ims-share.aliyuncs.com",
"requestParameters": {
"charset": "UTF-8",
"AcsHost": "ims-share.aliyuncs.com",
"AcsProduct": "Ims",
"RequestId": "BB774582-E706-5B89-8540-84D9490D0F11",
"DisplayName": "test",
"AcceptLanguage": "zh-CN",
"AkProxySuffix": "ram",
"UserPrincipalName": "test@189217171671****.onaliyun.com",
"HostId": "ims-share.aliyuncs.com"
},
"sourceIpAddress": "192.168.XX.XX",
"userAgent": "ram.console.alibabacloud.com",
"eventType": "ApiCall",
"referencedResources": {
"ACS::RAM::User": [
"test@189217171671****.onaliyun.com"
]
},
"userIdentity": {
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-08-05T06:44:37Z"
}
},
"accountId": "189217171671****",
"principalId": "26135379175722****",
"type": "ram-user",
"userName": "Alice"
},
"serviceName": "Ims",
"additionalEventData": {
"Scheme": "http",
"CallerBid": "26842"
},
"apiVersion": "2019-08-15",
"requestId": "BB774582-E706-5B89-8540-84D9490D0F11",
"eventTime": "2021-08-05T06:44:37Z",
"isGlobal": true,
"acsRegion": "cn-shanghai",
"eventName": "CreateUser"
}サンプルイベントログには、次の主要フィールドが含まれています。
userIdentity.type: リクエスタの ID タイプ。この例の値はram-userで、RAM ユーザーを示します。userIdentity.userName: 操作を実行した RAM ユーザーのユーザー名。serviceName: イベントに関連する Alibaba Cloud サービスの名前。この例の値はImsで、IMS を示します。eventName: イベントの名前。この例の値はCreateUserで、RAM ユーザーが作成されたことを示します。referencedResources: イベントに関連するリソース。この例の値は{"ACS::RAM::User": ["test@189217171671****.onaliyun.com"]}で、ユーザー名がtest@189217171671****.onaliyun.comである RAM ユーザーを示します。eventTime: イベントが発生した時刻 (UTC)。この例の値は2021-08-05T06:44:37Zで、2021 年 8 月 5 日 14:44:37 (UTC + 08:00) を示します。
CreateUser 操作を呼び出して RAM ユーザーを作成する (AccessKey ペアを使用)
次のサンプルイベントログは、ユーザー名が Alice である RAM ユーザーが、CreateUser 操作を呼び出して、ユーザー名が test@example.onaliyun.com である RAM ユーザーを 2021 年 8 月 5 日 14:52:21 (UTC + 08:00) に作成したことを示しています。 AccessKey ID が LTAI**************** である AccessKey ペアを使用して API 呼び出しが開始されます。
{
"eventId": "ED377CCF-2F1E-542D-96E6-25ACD4C866E3",
"eventVersion": 1,
"responseElements": {
"User": {
"UpdateDate": "2021-08-05T06:52:21Z",
"Email": "username@example.com",
"Comments": "",
"UserId": "23705482814634****",
"LastLoginDate": "",
"DisplayName": "test",
"UserPrincipalName": "test@example.onaliyun.com",
"CreateDate": "2021-08-05T06:52:21Z",
"MobilePhone": "1381111****"
},
"RequestId": "ED377CCF-2F1E-542D-96E6-25ACD4C866E3"
},
"eventSource": "ims.aliyuncs.com",
"requestParameters": {
"AcsHost": "ims.aliyuncs.com",
"AcsProduct": "Ims",
"RequestId": "ED377CCF-2F1E-542D-96E6-25ACD4C866E3",
"DisplayName": "test",
"UserPrincipalName": "test@example.onaliyun.com",
"HostId": "ims.aliyuncs.com"
},
"sourceIpAddress": "192.168.XX.XX",
"userAgent": "AlibabaCloud (Mac OS X; x86_64) Java/1.8.0_151-b12 tea-util/0.2.6 TeaDSL/1",
"eventType": "ApiCall",
"referencedResources": {
"ACS::RAM::User": [
"test@example.onaliyun.com"
]
},
"userIdentity": {
"accessKeyId": "LTAI****************",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-08-05T06:52:21Z"
}
},
"accountId": "121410627017****",
"principalId": "29041080637456****",
"type": "ram-user",
"userName": "Alice"
},
"serviceName": "Ims",
"additionalEventData": {
"Scheme": "https",
"CallerBid": "26842"
},
"apiVersion": "2019-08-15",
"requestId": "ED377CCF-2F1E-542D-96E6-25ACD4C866E3",
"eventTime": "2021-08-05T06:52:21Z",
"isGlobal": true,
"acsRegion": "cn-shanghai",
"eventName": "CreateUser"
}サンプルイベントログには、次の主要フィールドが含まれています。
userIdentity.accessKeyId: API 呼び出しの開始に使用される AccessKey ID。この例の値はLLTAI****************です。userIdentity.principalId: AccessKey ペアが属するアカウントの ID。この例の値は29041080637456****です。userIdentity.type: リクエスタの ID タイプ。この例の値はram-userで、RAM ユーザーを示します。serviceName: イベントに関連する Alibaba Cloud サービスの名前。この例の値はImsで、IMS を示します。eventName: イベントの名前。この例の値はCreateUserで、RAM ユーザーが作成されたことを示します。referencedResources: イベントに関連するリソース。この例の値は{"ACS::RAM::User": ["test@example.onaliyun.com"]}で、ユーザー名がtest@example.onaliyun.comである RAM ユーザーを示します。eventTime: イベントが発生した時刻 (UTC)。この例の値は2021-08-05T06:52:21Zで、2021 年 8 月 5 日 14:52:21 (UTC + 08:00) を示します。
RAM ユーザーとして RAM ロールを偽装して RAM ユーザーを作成する
次のサンプルイベントログは、ID が 189217171671**** である Alibaba Cloud アカウントの RAM ユーザーが、現在のアカウントの ram-role という名前の RAM ロールを偽装して、2021 年 8 月 5 日 14:50:12 (UTC + 08:00) に RAM ユーザーを作成したことを示しています。作成された RAM ユーザーの名前は test@189217171671****.onaliyun.com です。
{
"eventId": "7831E25F-2AAF-522B-A6A8-228ED41396C0",
"eventVersion": 1,
"responseElements": {
"User": {
"UpdateDate": "2021-08-05T06:50:12Z",
"Email": "username@example.com",
"Comments": "",
"UserId": "20560232814621****",
"LastLoginDate": "",
"DisplayName": "test",
"UserPrincipalName": "test@189217171671****.onaliyun.com",
"CreateDate": "2021-08-05T06:50:12Z",
"MobilePhone": "1381111****"
},
"RequestId": "7831E25F-2AAF-522B-A6A8-228ED41396C0"
},
"eventSource": "ims-share.aliyuncs.com",
"requestParameters": {
"stsTokenPrincipalName": "ram-role/roleTest123",
"charset": "UTF-8",
"AcsHost": "ims-share.aliyuncs.com",
"AcsProduct": "Ims",
"RequestId": "7831E25F-2AAF-522B-A6A8-228ED41396C0",
"DisplayName": "test",
"AcceptLanguage": "zh-CN",
"AkProxySuffix": "ram",
"UserPrincipalName": "test@189217171671****.onaliyun.com",
"HostId": "ims-share.aliyuncs.com",
"stsTokenPlayerUid": 189217171671****
},
"sourceIpAddress": "Internal",
"userAgent": "ram.console.alibabacloud.com",
"eventType": "ApiCall",
"referencedResources": {
"ACS::RAM::User": [
"test@189217171671****.onaliyun.com"
]
},
"userIdentity": {
"accessKeyId": "STS.****************",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-08-05T06:50:12Z"
}
},
"accountId": "189217171671****",
"principalId": "37177545076791****:roleTest123",
"type": "assumed-role",
"userName": "ram-role:roleTest123"
},
"serviceName": "Ims",
"additionalEventData": {
"Scheme": "http",
"CallerBid": "26842"
},
"apiVersion": "2019-08-15",
"requestId": "7831E25F-2AAF-522B-A6A8-228ED41396C0",
"eventTime": "2021-08-05T06:50:12Z",
"isGlobal": true,
"acsRegion": "cn-shanghai",
"eventName": "CreateUser"
}サンプルイベントログには、次の主要フィールドが含まれています。
userIdentity.type: リクエスタの ID タイプ。この例の値はassumed-roleで、RAM ロールを示します。userIdentity.userName: リクエスタのユーザー名。値の形式は{roleName}:{sessionName}です。roleNameは、偽装された RAM ロールの名前を示します。sessionNameは、RAM ユーザーが RAM ロールを偽装したときに指定された名前を示します。この例の値はram-role:roleTest123です。ram-roleは、偽装された RAM ロールの名前を示します。roleTest123は、RAM ユーザーが RAM ロールを偽装したときに指定された名前を示します。requestParameters.stsTokenPlayerUid: RAM ユーザーが属する Alibaba Cloud アカウントの ID。この例の値は189217171671****です。referencedResources: イベントに関連するリソース。この例の値は{"ACS::RAM::User": ["test@189217171671****.onaliyun.com"]}で、ユーザー名がtest@189217171671****.onaliyun.comである RAM ユーザーを示します。serviceName: イベントに関連する Alibaba Cloud サービスの名前。この例の値はImsで、IMS を示します。eventName: イベントの名前。この例の値はCreateUserで、RAM ユーザーが作成されたことを示します。eventTime: イベントが発生した時刻 (UTC)。この例の値は2021-08-05T06:50:12Zで、2021 年 8 月 5 日 14:50:12 (UTC + 08:00) を示します。