错误使用aws_sts_getsessiontoken

用户是不需要代入角色的，如果是真人使用，通过IAM Identity Center登录，赋予的是role的角色。如果是程序，绑定一个IAM role，只有当特殊情况比如第三方程序只支持使用IAM user的AKSK访问时才创建IAM user，但这个user不需要代入到其他的角色中，如果出现则疑似在越权访问。

select * from "amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0" 
where api.operation = 'AssumeRole'
and api.service.name = 'sts.amazonaws.com'
and eventday >= '20230822' AND eventday <= '20230822' 
and actor.user.type = 'IAMUser'

上一页调查GuardDuty的发现下一页使用Security Lake & Jupyter Notebooks实现事件响应

最后更新于1年前