# Seguimiento de tareas con privilegios en AWS CloudTrail La cuenta de administración de AWS Organizations o una cuenta de administrador delegado para IAM pueden realizar algunas tareas de usuario raíz en las cuentas de los miembros mediante el acceso raíz durante un plazo corto. Las sesiones con privilegios de corta duración le proporcionan credenciales temporales que puede utilizar para [realizar acciones con privilegios](id_root-user-privileged-task.md) en la cuenta de un miembro de su organización. Puede seguir los siguientes pasos para identificar las acciones realizadas por la cuenta de administración o por un administrador delegado durante la sesión [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html). **nota** El punto de conexión global no es compatible para `sts:AssumeRoot`. CloudTrail registra los eventos de `ConsoleLogin` en la región especificada para el punto de conexión. **Cómo realizar un seguimiento de las acciones realizadas por una sesión con privilegios en los registros de CloudTrail** 1. Busque el evento `AssumeRoot` en los registros de CloudTrail. Este evento se genera cuando la cuenta de administración o el administrador delegado de IAM obtiene un conjunto de credenciales de corto plazo con `sts:AssumeRoot`. En el siguiente ejemplo, el evento de CloudTrail para AssumeRoot se registra en el campo `eventName`. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1", "arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1", "accountId": "111111111111", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:role/John", "accountId": "111111111111", "userName": "Admin2" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-10-25T20:45:28Z", "mfaAuthenticated": "false" }, "assumedRoot": "true" } }, "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "222222222222", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } } ``` Para conocer los pasos a seguir para acceder al registro de CloudTrail, consulte [Obtención y visualización de archivos de registros de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) en la *Guía del usuario de AWS CloudTrail*. 1. En el registro de eventos de CloudTrail, busque la `targetPrincipal` que especifique las acciones de la cuenta del miembro y el `accessKeyId` que sea exclusiva de la sesión `AssumeRoot`. En el siguiente ejemplo, la `targetPrincipal` es 222222222222 y el `accessKeyId` es ASIAIOSFODNN7EXAMPLE. ``` "eventTime": "2024-10-25T20:52:11Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoot", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "targetPrincipal": "{{222222222222}}", "taskPolicyArn": { "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy" } }, "responseElements": { "credentials": { "accessKeyId": "{{ASIAIOSFODNN7EXAMPLE}}", "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "expiration": "Oct 25, 2024, 9:07:11 PM" } } ``` 1. En los registros de CloudTrail de la entidad principal objetivo, busque el ID de clave de acceso que corresponda al valor `accessKeyId` del evento `AssumeRoot`. Utilice los valores del campo `eventName` para determinar las tareas con privilegios que se realizaron durante la sesión `AssumeRoot`. Es posible que se realicen varias tareas con privilegios en una sola sesión. La duración máxima de la sesión `AssumeRoot` es de 900 segundos (15 minutos). En el siguiente ejemplo, la cuenta de administración o el administrador delegado eliminaron la política basada en recursos de un bucket de Amazon S3. ``` { "eventVersion": "1.10", "userIdentity": { "type": "Root", "principalId": "{{222222222222}}", "arn": "arn:aws:iam::222222222222:root", "accountId": "222222222222", "accessKeyId": "{{ASIAIOSFODNN7EXAMPLE}}", "sessionContext": { "attributes": { "creationDate": "2024-10-25T20:52:11Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-10-25T20:53:47Z", "eventSource": "s3.amazonaws.com", "eventName": "DeleteBucketPolicy", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "requestParameters": { "bucketName": "resource-policy-John", "Host": "resource-policy-John.s3.amazonaws.com", "policy": "" }, "responseElements": null, "requestID": "1234567890abcdef0", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "readOnly": false, "resources": [ { "accountId": "222222222222", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::resource-policy-John" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "222222222222", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "resource-policy-John.s3.amazonaws.com" } } ```