本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 CloudTrail 日志中包含 IAM 身份中心用户上下文
<a name="identity-center-ct-logs"></a>

Lake Formation 使用[凭证售卖](using-cred-vending.md)功能提供对 Amazon S3 数据的临时访问权限。默认情况下，当 IAM Identity Center 用户向集成分析服务提交查询时， CloudTrail 日志仅包含该服务为提供短期访问而承担的 IAM 角色。如果您使用用户定义的角色向 Lake Formation 注册 Amazon S3 数据位置，则可以选择在 CloudTrail 事件中包含 IAM 身份中心用户的上下文，然后跟踪访问您资源的用户。

**重要**  
要在中包含对象级的 Amazon S3 API 请求 CloudTrail，您需要为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录。有关更多信息，请参阅 Amazon S3 用户指南中的[为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。

**在使用用户定义的角色注册的数据湖位置上启用凭证售卖审计**

1. 登录 Lake Formation 控制台，网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。

1. 在左侧导航中，展开**管理**，然后选择**数据目录设置**。

1. 在**增强审计**下，选择**传播提供的上下文**。

1. 选择**保存**。

 您也可以通过在[PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html)操作中设置`Parameters`属性来启用增强审计选项。默认情况下，`SET_CONTEXT"` 参数值设置为 true。

```
{
    "DataLakeSettings": {
        "Parameters": {"SET_CONTEXT": "true"},
    }
}
```

以下是带有增强审计选项 CloudTrail 的事件的摘录。此日志包括 IAM Identity Center 用户的会话上下文和 Lake Formation 为访问 Amazon S3 数据位置而代入的用户定义的 IAM 角色。参见以下摘录中的 `onBehalfOf` 参数。

```
{
         "eventVersion":"1.09",
         "userIdentity":{
            "type":"AssumedRole",
            "principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
            "arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",           
            "accountId":"123456789012",
            "accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
            "sessionContext":{
               "sessionIssuer":{
                  "type":"Role",
                  "principalId":"AROAW7F7MOX4OYE6FLIFN",
                  "arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
                  "accountId":"123456789012",
                  "userName":"accessGrantsTestRole"
               },
               "attributes":{
                  "creationDate":"2023-08-09T17:24:02Z",
                  "mfaAuthenticated":"false"
               }
            },
            "onBehalfOf":{
                "userId": "<identityStoreUserId>",
                "identityStoreArn": "arn:aws:identitystore::<restOfIdentityStoreArn>"
            }
         },
         "eventTime":"2023-08-09T17:25:43Z",
         "eventSource":"s3.amazonaws.com",
         "eventName":"GetObject",
    ....
```