Mengumpulkan log AWS IAM

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log AWS IAM ke Google Security Operations. Parser mengubah log berformat JSON mentah menjadi Model Data Terpadu (UDM) terstruktur. Hal ini mengekstrak kolom yang relevan seperti detail pengguna, informasi peran, izin, dan stempel waktu, lalu memetakannya ke kolom UDM yang sesuai untuk analisis keamanan yang konsisten.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke konsol AWS
Izin untuk membuat pengguna, peran, dan kebijakan IAM

Pilih metode integrasi Anda

Google SecOps mendukung dua metode untuk menyerap data AWS IAM:

Metode A: CloudTrail + Amazon S3 (Log aktivitas)

Yang dikumpulkan: Log aktivitas IAM (siapa yang melakukan tindakan apa)
Sumber data: Peristiwa AWS CloudTrail
Latensi: Beberapa menit (berbasis polling)
Kasus penggunaan: Jejak audit historis, pelaporan kepatuhan
Jenis sumber feed: Amazon S3 V2

Metode B: API pihak ketiga (Snapshot konfigurasi)

Yang dikumpulkan: Data konfigurasi IAM (pengguna, grup, peran, kebijakan)
Sumber data: Panggilan langsung AWS IAM API
Latensi: Hampir real-time (polling berkala)
Kasus penggunaan: Pemantauan konfigurasi IAM real-time, peninjauan akses
Jenis sumber feed: API pihak ketiga

Metode A: Integrasi CloudTrail + Amazon S3

Metode ini menggunakan AWS CloudTrail untuk merekam aktivitas IAM dan menyimpan log di Amazon S3, yang kemudian di-ingest oleh Google SecOps.

Buat bucket Amazon S3

Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, iam-activity-logs-bucket).

Mengonfigurasi kebijakan bucket S3 untuk CloudTrail

CloudTrail memerlukan izin untuk menulis log ke bucket S3 Anda.

Di konsol Amazon S3, pilih bucket Anda.
Buka Izin > Kebijakan bucket.

Klik Edit dan tambahkan kebijakan berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudTrailAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket"
    },
    {
      "Sid": "CloudTrailWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/AWSLogs/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}

Ganti iam-activity-logs-bucket dengan nama bucket Anda yang sebenarnya.

Klik Simpan perubahan.

Mengonfigurasi CloudTrail untuk merekam aktivitas IAM

Login ke AWS Management Console.
Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.
Klik Buat jalur.
Berikan detail konfigurasi berikut:
- Nama jejak: Masukkan nama deskriptif (misalnya, IAMActivityTrail).
- Terapkan jejak ke semua wilayah: Pilih Ya untuk merekam aktivitas di semua wilayah.
- Storage location: Pilih Use existing S3 bucket dan pilih bucket yang dibuat sebelumnya.
- Awalan file log (opsional): Masukkan awalan (misalnya, iam-logs/).
- Enkripsi SSE-KMS file log: Opsional. Jika diaktifkan, buat atau pilih kunci KMS.
Klik Berikutnya.
Konfigurasi pemilihan peristiwa:
- Peristiwa pengelolaan: Pilih Baca dan Tulis untuk merekam peristiwa baca dan tulis pada resource IAM.
- Peristiwa data: Opsional. Aktifkan peristiwa data S3 dan Lambda jika diperlukan.
- Peristiwa insight: Opsional. Aktifkan untuk deteksi aktivitas tidak biasa.
Klik Berikutnya.
Tinjau konfigurasi, lalu klik Create trail.

Opsional: Aktifkan pembuatan versi bucket S3 (direkomendasikan)

Di konsol Amazon S3, pilih bucket Anda.
Buka Properties > Bucket Versioning.
Klik Edit.
Pilih Aktifkan.
Klik Simpan perubahan.

Membuat pengguna IAM untuk akses S3 Google SecOps

Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Berikutnya.
Opsional: Tambahkan tag deskripsi.
Klik Create access key.
Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk referensi di masa mendatang.
Klik Done.
Pilih tab Izin.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung.
Klik Buat kebijakan di tab baru.
Di Policy editor, pilih tab JSON.

Masukkan kebijakan berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::iam-activity-logs-bucket",
        "arn:aws:s3:::iam-activity-logs-bucket/*"
      ]
    }
  ]
}

Ganti iam-activity-logs-bucket dengan nama bucket Anda yang sebenarnya.

Klik Berikutnya.
Beri nama kebijakan chronicle-s3-read-policy.
Klik Create policy.
Kembali ke tab pembuatan pengguna dan muat ulang daftar kebijakan.
Telusuri dan pilih chronicle-s3-read-policy.
Klik Berikutnya.
Klik Add permissions.

Opsional: Buat fungsi Lambda untuk ekspor real-time

Jika Anda memerlukan ekspor log CloudTrail yang mendekati real-time ke S3:

Di AWS Console, buka Lambda > Functions > Create function.
Klik Buat dari awal.
Berikan detail konfigurasi berikut:

Setelan Nilai

Nama ExportIAMLogsToS3

Runtime Python 3.13

Arsitektur x86_64

Peran eksekusi Buat peran baru dengan izin Lambda dasar
Klik Create function.

Setelan	Nilai
Nama	`ExportIAMLogsToS3`
Runtime	Python 3.13
Arsitektur	x86_64
Peran eksekusi	Buat peran baru dengan izin Lambda dasar

Setelah fungsi dibuat, buka tab Code, hapus stub, lalu masukkan kode berikut:

import boto3
import gzip
from io import BytesIO

s3 = boto3.client('s3')
logs = boto3.client('logs')

def lambda_handler(event, context):
    log_group = event['logGroup']
    log_stream = event['logStream']

    log_events = logs.get_log_events(
        logGroupName=log_group,
        logStreamName=log_stream,
        startFromHead=True
    )

    log_data = "\n".join([event['message'] for event in log_events['events']])

    # Compress and upload to S3
    compressed_data = gzip.compress(log_data.encode('utf-8'))
    s3.put_object(
        Bucket='iam-activity-logs-bucket',
        Key=f'iam-logs/{log_stream}.gz',
        Body=compressed_data
    )

    return {
        'statusCode': 200,
        'body': 'Logs exported successfully'
    }

Ganti iam-activity-logs-bucket dengan nama bucket Anda.

Klik Deploy untuk menyimpan kode fungsi.

Opsional: Mengonfigurasi izin peran eksekusi Lambda

Di fungsi yang sama, pilih tab Configuration.
Pilih Izin dari menu kiri.
Klik nama Execution role untuk membukanya di konsol IAM.
Klik Tambahkan izin > Lampirkan kebijakan.
Klik Buat kebijakan di tab baru.

Pilih tab JSON dan tempelkan kebijakan berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/*"
    }
  ]
}

Ganti iam-activity-logs-bucket dengan nama bucket Anda.

Klik Berikutnya.
Beri nama kebijakan lambda-iam-logs-export-policy.
Klik Create policy.
Kembali ke tab peran, lalu muat ulang.
Telusuri dan pilih lambda-iam-logs-export-policy.
Klik Add permissions.

Opsional: Mengonfigurasi waktu tunggu Lambda

Di fungsi Lambda, tetap berada di tab Configuration.
Pilih Konfigurasi umum dari menu kiri.
Klik Edit.
Ubah Waktu tunggu menjadi 5 menit (300 detik).
Klik Simpan.

Opsional: Mengonfigurasi pemicu Lambda untuk CloudWatch Logs

Di fungsi Lambda, pilih bagian Function overview di bagian atas.
Klik Tambahkan pemicu.
Di drop-down Konfigurasi pemicu, pilih CloudWatch Logs.
Berikan detail konfigurasi berikut:
- Grup log: Pilih atau masukkan grup log CloudWatch Logs yang terkait dengan CloudTrail (misalnya, /aws/cloudtrail/).
- Nama filter: Masukkan nama deskriptif (misalnya, IAM-events-filter).
- Pola filter: Biarkan kosong untuk merekam semua peristiwa, atau masukkan pola tertentu.
Klik Tambahkan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed > Tambahkan Feed Baru
Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed AWS IAM

Klik paket Amazon Cloud Platform.
Temukan jenis log AWS IAM.
Tentukan nilai di kolom berikut.
- Jenis Sumber: API pihak ketiga
- Nama pengguna: Nama pengguna untuk autentikasi
- Secret: Secret untuk mengautentikasi
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Menggunakan Setelan SIEM

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, AWS IAM CloudTrail Logs).
Pilih Amazon S3 V2 sebagai Jenis sumber.
Pilih AWS IAM sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI S3: s3://iam-activity-logs-bucket/
  - Ganti iam-activity-logs-bucket dengan nama bucket Anda yang sebenarnya.
  Catatan: Sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Saat berhasil: Menghapus semua file dan direktori kosong setelah transfer berhasil (untuk pengoptimalan biaya).
  Catatan: Jika Anda memilih opsi penghapusan, pastikan pengguna IAM memiliki izin s3:DeleteObject.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
- Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Metode B: Integrasi API pihak ketiga

Metode ini menggunakan panggilan API AWS IAM langsung untuk mengumpulkan data konfigurasi IAM saat ini (pengguna, grup, peran, kebijakan).

Mendapatkan rentang IP Google SecOps

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Perhatikan rentang IP yang ditampilkan di bagian atas halaman.
Atau, ambil rentang IP secara terprogram menggunakan Feed Management API.

Buat pengguna IAM dengan izin yang diperlukan

Opsi A: Menggunakan Kebijakan Terkelola AWS (Direkomendasikan)

Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Berikutnya.
Opsional: Tambahkan tag deskripsi.
Klik Create access key.
Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk referensi di masa mendatang.
Klik Done.
Pilih tab Izin.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung.
Cari IAMReadOnlyAccess (kebijakan yang dikelola AWS).
Pilih kebijakan.
Klik Berikutnya.
Klik Add permissions.

Penting: Kebijakan IAMReadOnlyAccess mencakup semua izin yang diperlukan:

iam:GetUser
iam:ListUsers
iam:GetGroup
iam:ListGroups
iam:GetPolicy
iam:ListPolicies
iam:GetRole
iam:ListRoles
iam:ListAttachedUserPolicies
iam:ListAttachedGroupPolicies
iam:ListAttachedRolePolicies
iam:GetAccountSummary

Opsi B: Buat Kebijakan Kustom (Hak Istimewa Terendah)

Jika kebijakan keamanan Anda memerlukan izin minimal, bukan kebijakan terkelola:

Di konsol AWS, buka IAM > Policies > Create policy > JSON tab.

Tempelkan kebijakan berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetUser",
        "iam:ListUsers",
        "iam:GetGroup",
        "iam:ListGroups",
        "iam:GetPolicy",
        "iam:ListPolicies",
        "iam:GetRole",
        "iam:ListRoles",
        "iam:ListAttachedUserPolicies",
        "iam:ListAttachedGroupPolicies",
        "iam:ListAttachedRolePolicies",
        "iam:GetAccountSummary"
      ],
      "Resource": "*"
    }
  ]
}

Klik Berikutnya.
Beri nama kebijakan chronicle-iam-api-read-policy.
Klik Create policy.
Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Berikutnya.
Opsional: Tambahkan tag deskripsi.
Klik Create access key.
Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk referensi di masa mendatang.
Klik Done.
Pilih tab Izin.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung.
Telusuri dan pilih chronicle-iam-api-read-policy.
Klik Berikutnya.
Klik Add permissions.

Mengonfigurasi feed di Google SecOps untuk memproses data konfigurasi IAM

Menggunakan Hub Konten (direkomendasikan)

Buka Hub Konten > Paket Konten > Mulai.
Klik paket Amazon Cloud Platform.
Temukan jenis log AWS IAM.
Pilih Third party API dari drop-down Source Type.
Berikan detail konfigurasi berikut:
- Username: ID Kunci Akses dari pengguna IAM yang dibuat sebelumnya.
- Secret: Kunci Akses Rahasia dari pengguna IAM yang dibuat sebelumnya.
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed (misalnya, AWS IAM API Configuration).
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Menggunakan Setelan SIEM

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, AWS IAM API Configuration).
Pilih Third party API sebagai Source type.
Pilih AWS IAM sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Username: ID Kunci Akses dari pengguna IAM yang dibuat sebelumnya.
- Secret: Kunci Akses Rahasia dari pengguna IAM yang dibuat sebelumnya.
- Region: Region AWS (misalnya, us-east-1).
Catatan: AWS IAM adalah layanan global, tetapi Anda harus menentukan region untuk perutean endpoint API.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Arn`	`entity.entity.resource.name`	Dipetakan langsung dari kolom ARN. Diterapkan ke berbagai jenis entitas. Untuk jenis entitas GROUP, dipetakan dari Group.Arn.
`AssumeRolePolicyDocument`	`entity.entity.resource.attribute.permissions.name`	Dipetakan langsung dari kolom AssumeRolePolicyDocument, tetapi hanya untuk jenis entity RESOURCE.
`CreateDate`	`entity.entity.user.attribute.creation_time`	Dipetakan langsung dari kolom CreateDate dan dikonversi ke format stempel waktu Chronicle.
`CreateDate`	`entity.entity.resource.attribute.creation_time`	Dipetakan langsung dari kolom CreateDate dan dikonversi ke format stempel waktu Chronicle.
`Group.Arn`	`entity.entity.resource.name`	Dipetakan langsung dari kolom Group.Arn.
`Group.CreateDate`	`entity.entity.group.attribute.creation_time`	Dipetakan langsung dari kolom Group.CreateDate dan dikonversi ke format stempel waktu Chronicle.
`Group.GroupID`	`entity.entity.group.product_object_id`	Dipetakan langsung dari kolom Group.GroupID.
`Group.GroupName`	`entity.entity.group.group_display_name`	Dipetakan langsung dari kolom Group.GroupName.
`Group.GroupName`	`entity.entity.group.email_addresses`	Dipetakan langsung dari kolom Group.GroupName.
`Group.Path`	`entity.entity.group.attribute.labels.value`	Dipetakan langsung dari kolom Group.Path, kunci di-hardcode ke path.
`IsTruncated`	`entity.entity.group.attribute.labels.value`	Dipetakan langsung dari kolom IsTruncated yang dikonversi menjadi string, kuncinya dikodekan secara permanen menjadi is_truncated.
`Marker`	`entity.entity.group.attribute.labels.value`	Dipetakan langsung dari kolom Penanda, kunci di-hardcode ke penanda.
`PasswordLastUsed`	`entity.entity.user.last_login_time`	Dipetakan langsung dari kolom PasswordLastUsed dan dikonversi ke format stempel waktu Chronicle.
`Path`	`entity.entity.user.attribute.labels.value`	Dipetakan langsung dari kolom Jalur untuk jenis entity PENGGUNA, kunci dikodekan secara permanen ke jalur.
`Path`	`entity.entity.resource.attribute.labels.value`	Dipetakan langsung dari kolom Jalur untuk jenis entitas RESOURCE, kunci dikodekan secara permanen ke jalur.
`PermissionsBoundary.PermissionsBoundaryArn`	`entity.entity.resource.attribute.labels.value`	Dipetakan langsung dari kolom PermissionsBoundary.PermissionsBoundaryArn, kunci dikodekan secara permanen ke permissions_boundary_arn.
`PermissionsBoundary.PermissionsBoundaryType`	`entity.entity.resource.attribute.labels.value`	Dipetakan langsung dari kolom PermissionsBoundary.PermissionsBoundaryType, kunci dikodekan secara permanen ke permissions_boundary_type.
`RoleID`	`entity.entity.resource.product_object_id`	Dipetakan langsung dari kolom RoleID.
`RoleLastUsed.LastUsedDate`	`entity.entity.resource.attribute.labels.value`	Dipetakan langsung dari kolom RoleLastUsed.LastUsedDate, kuncinya dikodekan secara permanen ke role_last_used_date.
`RoleLastUsed.Region`	`entity.entity.location.name`	Dipetakan langsung dari kolom RoleLastUsed.Region.
`RoleName`	`entity.entity.resource.attribute.roles.name`	Dipetakan langsung dari kolom RoleName.
`Tags.Key`	`entity.entity.user.attribute.labels.key`	Digunakan sebagai kunci untuk label di entity pengguna.
`Tags.Value`	`entity.entity.user.attribute.labels.value`	Digunakan sebagai nilai untuk label dalam entity pengguna.
`UserID`	`entity.entity.user.product_object_id`	Dipetakan langsung dari kolom UserID.
`UserName`	`entity.entity.user.userid`	Dipetakan langsung dari kolom UserName.
`Users.Arn`	`relations.entity.resource.name`	Dipetakan langsung dari kolom Users.Arn dalam relasi pengguna.
`Users.CreateDate`	`relations.entity.user.attribute.creation_time`	Dipetakan langsung dari kolom Users.CreateDate dalam relasi pengguna dan dikonversi ke format stempel waktu Chronicle.
`Users.PasswordLastUsed`	`relations.entity.user.last_login_time`	Dipetakan langsung dari kolom Users.PasswordLastUsed dalam relasi pengguna dan dikonversi ke format stempel waktu Chronicle.
`Users.Path`	`relations.entity.user.attribute.labels.value`	Dipetakan langsung dari kolom Users.Path dalam relasi pengguna, kunci dikodekan secara permanen ke jalur.
`Users.PermissionsBoundary.PermissionsBoundaryArn`	`relations.entity.resource.attribute.labels.value`	Dipetakan langsung dari kolom Users.PermissionsBoundary.PermissionsBoundaryArn dalam relasi pengguna, kunci dikodekan secara permanen ke permissions_boundary_arn.
`Users.PermissionsBoundary.PermissionsBoundaryType`	`relations.entity.resource.attribute.labels.value`	Dipetakan langsung dari kolom Users.PermissionsBoundary.PermissionsBoundaryType dalam relasi pengguna, kunci dikodekan secara permanen ke permissions_boundary_type.
`Users.UserID`	`relations.entity.user.product_object_id`	Dipetakan langsung dari kolom Users.UserID dalam relasi pengguna.
`Users.UserName`	`relations.entity.user.userid`	Dipetakan langsung dari kolom Users.UserName dalam relasi pengguna.
T/A	`entity.metadata.collected_timestamp`	Diisi dengan stempel waktu penyerapan peristiwa.
T/A	`entity.metadata.vendor_name`	Dikodekan secara permanen ke AWS.
T/A	`entity.metadata.product_name`	Dikodekan secara permanen ke AWS IAM.
T/A	`entity.metadata.entity_type`	Ditentukan berdasarkan keberadaan kolom tertentu: USER jika UserID ada, RESOURCE jika RoleID ada, GROUP jika Group.GroupName ada.
T/A	`entity.entity.resource.resource_subtype`	Setel ke Pengguna untuk jenis entity PENGGUNA dan Peran untuk jenis entity SUMBER DAYA.
T/A	`entity.entity.resource.resource_type`	Ditetapkan ke ACCESS_POLICY untuk jenis entity RESOURCE.
T/A	`entity.entity.resource.attribute.cloud.environment`	Dikodekan secara permanen ke AMAZON_WEB_SERVICES.
T/A	`relations.entity_type`	Dikodekan secara permanen ke USER untuk hubungan pengguna.
T/A	`relations.relationship`	Dikodekan secara permanen ke MEMBER untuk hubungan grup pengguna.
T/A	`relations.direction`	Hardcode ke UNIDIRECTIONAL.
T/A	`relations.entity.resource.resource_subtype`	Dikodekan secara permanen ke Pengguna untuk hubungan pengguna.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.