Collecter les journaux AWS IAM

Ce document explique comment ingérer des journaux AWS IAM dans Google Security Operations. L'analyseur transforme les journaux bruts au format JSON en un modèle de données unifié (UDM) structuré. Il extrait les champs pertinents tels que les informations sur l'utilisateur, les informations sur le rôle, les autorisations et les codes temporels, et les mappe aux champs UDM correspondants pour une analyse de sécurité cohérente.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Une instance Google SecOps
• Accès privilégié à la console AWS
• Autorisations permettant de créer des utilisateurs, des rôles et des stratégies IAM

Choisir votre méthode d'intégration

Google SecOps est compatible avec deux méthodes d'ingestion des données AWS IAM :

Méthode A : CloudTrail + Amazon S3 (journaux d'activité)

• Informations collectées : journaux d'activité IAM (qui a effectué quelles actions)
• Source de données : événements AWS CloudTrail
• Latence : plusieurs minutes (basée sur l'interrogation)
• Cas d'utilisation : piste d'audit historique, rapports de conformité
• Type de source du flux : Amazon S3 V2

Méthode B : API tierce (instantané de configuration)

• Données collectées : données de configuration IAM (utilisateurs, groupes, rôles, règles)
• Source de données : appels directs de l'API AWS IAM
• Latence : quasi-temps réel (interrogation périodique)
• Cas d'utilisation : surveillance de la configuration IAM en temps réel, examen des accès
• Type de source de flux : API tierce

Méthode A : Intégration CloudTrail + Amazon S3

Cette méthode utilise AWS CloudTrail pour capturer l'activité IAM et stocke les journaux dans Amazon S3, que Google SecOps ingère ensuite.

Créer un bucket Amazon S3

1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
2. Enregistrez le nom et la région du bucket pour référence ultérieure (par exemple, iam-activity-logs-bucket).

Configurer la stratégie de bucket S3 pour CloudTrail

CloudTrail a besoin d'autorisations pour écrire des journaux dans votre bucket S3.

1. Dans la console Amazon S3, sélectionnez votre bucket.
2. Accédez à Autorisations > Règle de bucket.

3. Cliquez sur Modifier, puis ajoutez la règle suivante :

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CloudTrailAclCheck",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:GetBucketAcl",
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket"
       },
       {
         "Sid": "CloudTrailWrite",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket/AWSLogs/*",
         "Condition": {
           "StringEquals": {
             "s3:x-amz-acl": "bucket-owner-full-control"
           }
         }
       }
     ]
   }
   

   • Remplacez iam-activity-logs-bucket par le nom réel de votre bucket.

4. Cliquez sur Enregistrer les modifications.

Configurer CloudTrail pour capturer l'activité IAM

1. Connectez-vous à l'AWS Management Console.
2. Dans la barre de recherche, saisissez CloudTrail et sélectionnez-le dans la liste des services.
3. Cliquez sur Créer un parcours.
4. Fournissez les informations de configuration suivantes :
   • Nom de la version d'essai : saisissez un nom descriptif (par exemple, IAMActivityTrail).
   • Appliquer le parcours à toutes les régions : sélectionnez Oui pour enregistrer les activités dans toutes les régions.
   • Emplacement de stockage : sélectionnez Utiliser un bucket S3 existant, puis choisissez le bucket créé précédemment.
   • Préfixe du fichier journal (facultatif) : saisissez un préfixe (par exemple, iam-logs/).
   • Chiffrement SSE-KMS des fichiers journaux : facultatif. Si cette option est activée, créez ou sélectionnez une clé KMS.
5. Cliquez sur Suivant.
6. Configurez la sélection d'événements :
   • Événements de gestion : sélectionnez Lire et Écrire pour capturer les événements de lecture et d'écriture sur les ressources IAM.
   • Événements de données : facultatif. Activez les événements de données S3 et Lambda si nécessaire.
   • Événements Insights : facultatif. Activez cette option pour détecter les activités inhabituelles.
7. Cliquez sur Suivant.
8. Vérifiez la configuration, puis cliquez sur Créer un parcours.

Facultatif : Activez la gestion des versions du bucket S3 (recommandé).

1. Dans la console Amazon S3, sélectionnez votre bucket.
2. Accédez à Propriétés > Gestion des versions du bucket.
3. Cliquez sur Modifier.
4. Sélectionnez Activer.
5. Cliquez sur Enregistrer les modifications.

Créer un utilisateur IAM pour l'accès Google SecOps S3

1. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
2. Sélectionnez l'utilisateur créé.
3. Sélectionnez l'onglet Informations d'identification de sécurité.
4. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
5. Sélectionnez Service tiers comme Cas d'utilisation.
6. Cliquez sur Suivant.
7. Facultatif : Ajoutez un tag de description.
8. Cliquez sur Créer une clé d'accès.
9. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour référence ultérieure.
10. Cliquez sur OK.
11. Sélectionnez l'onglet Autorisations.
12. Cliquez sur Ajouter des autorisations dans la section Règles relatives aux autorisations.
13. Sélectionnez Ajouter des autorisations.
14. Sélectionnez Joindre directement des règles.
15. Cliquez sur Créer une règle dans un nouvel onglet.
16. Dans l'éditeur de règles, sélectionnez l'onglet JSON.

17. Saisissez la règle suivante :

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::iam-activity-logs-bucket",
            "arn:aws:s3:::iam-activity-logs-bucket/*"
          ]
        }
      ]
    }
    

    • Remplacez iam-activity-logs-bucket par le nom réel de votre bucket.

18. Cliquez sur Suivant.

19. Nommez la règle chronicle-s3-read-policy.

20. Cliquez sur Créer une règle.

21. Revenez à l'onglet de création d'utilisateur et actualisez la liste des règles.

22. Recherchez et sélectionnez chronicle-s3-read-policy.

23. Cliquez sur Suivant.

24. Cliquez sur Ajouter des autorisations.

Facultatif : Créer la fonction Lambda pour l'exportation en temps réel

Si vous avez besoin d'exporter les journaux CloudTrail vers S3 en temps quasi réel :

1. Dans la console AWS, accédez à Lambda > Fonctions > Créer une fonction.
2. Cliquez sur Créer à partir de zéro.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	ExportIAMLogsToS3
   Durée d'exécution	Python 3.13
   Architecture	x86_64
   Rôle d'exécution	Créer un rôle avec des autorisations Lambda de base

4. Cliquez sur Créer une fonction.

5. Une fois la fonction créée, ouvrez l'onglet Code, supprimez le stub et saisissez le code suivant :

   import boto3
   import gzip
   from io import BytesIO
   
   s3 = boto3.client('s3')
   logs = boto3.client('logs')
   
   def lambda_handler(event, context):
       log_group = event['logGroup']
       log_stream = event['logStream']
   
       log_events = logs.get_log_events(
           logGroupName=log_group,
           logStreamName=log_stream,
           startFromHead=True
       )
   
       log_data = "\n".join([event['message'] for event in log_events['events']])
   
       # Compress and upload to S3
       compressed_data = gzip.compress(log_data.encode('utf-8'))
       s3.put_object(
           Bucket='iam-activity-logs-bucket',
           Key=f'iam-logs/{log_stream}.gz',
           Body=compressed_data
       )
   
       return {
           'statusCode': 200,
           'body': 'Logs exported successfully'
       }
   

   • Remplacez iam-activity-logs-bucket par le nom de votre bucket.

6. Cliquez sur Déployer pour enregistrer le code de la fonction.

Facultatif : Configurer les autorisations du rôle d'exécution Lambda

1. Dans la même fonction, sélectionnez l'onglet Configuration.
2. Sélectionnez Autorisations dans le menu de gauche.
3. Cliquez sur le nom du rôle d'exécution pour l'ouvrir dans la console IAM.
4. Cliquez sur Ajouter des autorisations> Associer des règles.
5. Cliquez sur Créer une règle dans un nouvel onglet.

6. Sélectionnez l'onglet JSON et collez la règle suivante :

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "logs:GetLogEvents",
           "logs:FilterLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket/*"
       }
     ]
   }
   

   • Remplacez iam-activity-logs-bucket par le nom de votre bucket.

7. Cliquez sur Suivant.

8. Nommez la règle lambda-iam-logs-export-policy.

9. Cliquez sur Créer une règle.

10. Revenez à l'onglet "Rôles" et actualisez la page.

11. Recherchez et sélectionnez lambda-iam-logs-export-policy.

12. Cliquez sur Ajouter des autorisations.

Facultatif : Configurer le délai avant expiration de Lambda

1. Dans la fonction Lambda, restez dans l'onglet Configuration.
2. Sélectionnez Configuration générale dans le menu de gauche.
3. Cliquez sur Modifier.
4. Définissez Délai avant expiration sur 5 minutes (300 secondes).
5. Cliquez sur Enregistrer.

(Facultatif) Configurer le déclencheur Lambda pour CloudWatch Logs

1. Dans la fonction Lambda, sélectionnez la section Présentation de la fonction en haut de la page.
2. Cliquez sur Ajouter un déclencheur.
3. Dans le menu déroulant Configuration du déclencheur, sélectionnez Journaux CloudWatch.
4. Fournissez les informations de configuration suivantes :
   • Groupe de journaux : sélectionnez ou saisissez le groupe de journaux CloudWatch Logs associé à CloudTrail (par exemple, /aws/cloudtrail/).
   • Nom du filtre : saisissez un nom descriptif (par exemple, IAM-events-filter).
   • Modèle de filtre : laissez ce champ vide pour capturer tous les événements ou saisissez un modèle spécifique.
5. Cliquez sur Ajouter.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

• Paramètres SIEM> Flux > Ajouter un flux
• Plate-forme de contenu> Packs de contenu> Premiers pas

Configurer le flux AWS IAM

1. Cliquez sur le pack Amazon Cloud Platform.
2. Recherchez le type de journal AWS IAM.

3. Spécifiez les valeurs des champs suivants.

   • Type de source : API tierce
   • Nom d'utilisateur : nom d'utilisateur pour l'authentification
   • Secret : secret pour l'authentification

   Options avancées

   • Nom du flux : valeur préremplie qui identifie le flux.
   • Espace de noms de l'élément : espace de noms associé au flux.
   • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

4. Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Utiliser les paramètres SIEM

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Sur la page suivante, cliquez sur Configurer un seul flux.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, AWS IAM CloudTrail Logs).
5. Sélectionnez Amazon S3 V2 comme type de source.
6. Sélectionnez AWS IAM comme type de journal.
7. Cliquez sur Suivant.

8. Spécifiez les valeurs des paramètres d'entrée suivants :

   • URI S3 : s3://iam-activity-logs-bucket/

     • Remplacez iam-activity-logs-bucket par le nom réel de votre bucket.

   • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

     • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
     • En cas de réussite : supprime tous les fichiers et répertoires vides après un transfert réussi (pour optimiser les coûts).

   • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

   • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.

   • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.

   • Espace de noms de l'élément : espace de noms de l'élément.

   • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

9. Cliquez sur Suivant.

10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Méthode B : Intégration d'API tierces

Cette méthode utilise des appels d'API AWS IAM directs pour collecter les données de configuration IAM actuelles (utilisateurs, groupes, rôles, stratégies).

Obtenir les plages d'adresses IP de Google SecOps

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Notez les plages d'adresses IP affichées en haut de la page.
4. Vous pouvez également récupérer les plages d'adresses IP de manière programmatique à l'aide de l'API Feed Management.

Créer un utilisateur IAM avec les autorisations requises

Option A : Utiliser une stratégie gérée par AWS (recommandé)

1. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
2. Sélectionnez l'utilisateur créé.
3. Sélectionnez l'onglet Informations d'identification de sécurité.
4. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
5. Sélectionnez Service tiers comme Cas d'utilisation.
6. Cliquez sur Suivant.
7. Facultatif : Ajoutez un tag de description.
8. Cliquez sur Créer une clé d'accès.
9. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour référence ultérieure.
10. Cliquez sur OK.
11. Sélectionnez l'onglet Autorisations.
12. Cliquez sur Ajouter des autorisations dans la section Règles relatives aux autorisations.
13. Sélectionnez Ajouter des autorisations.
14. Sélectionnez Joindre directement des règles.
15. Recherchez IAMReadOnlyAccess (stratégie gérée par AWS).
16. Sélectionnez la règle.
17. Cliquez sur Suivant.
18. Cliquez sur Ajouter des autorisations.

Important : La règle IAMReadOnlyAccess inclut toutes les autorisations requises :

• iam:GetUser
• iam:ListUsers
• iam:GetGroup
• iam:ListGroups
• iam:GetPolicy
• iam:ListPolicies
• iam:GetRole
• iam:ListRoles
• iam:ListAttachedUserPolicies
• iam:ListAttachedGroupPolicies
• iam:ListAttachedRolePolicies
• iam:GetAccountSummary

Option B : Créer une règle personnalisée (principe du moindre privilège)

Si votre stratégie de sécurité exige des autorisations minimales au lieu de la stratégie gérée :

1. Dans la console AWS, accédez à IAM > Stratégies > Créer une stratégie > onglet JSON.

2. Collez la règle suivante :

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "iam:GetUser",
           "iam:ListUsers",
           "iam:GetGroup",
           "iam:ListGroups",
           "iam:GetPolicy",
           "iam:ListPolicies",
           "iam:GetRole",
           "iam:ListRoles",
           "iam:ListAttachedUserPolicies",
           "iam:ListAttachedGroupPolicies",
           "iam:ListAttachedRolePolicies",
           "iam:GetAccountSummary"
         ],
         "Resource": "*"
       }
     ]
   }
   

3. Cliquez sur Suivant.

4. Nommez la règle chronicle-iam-api-read-policy.

5. Cliquez sur Créer une règle.

6. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.

7. Sélectionnez l'utilisateur créé.

8. Sélectionnez l'onglet Informations d'identification de sécurité.

9. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.

10. Sélectionnez Service tiers comme Cas d'utilisation.

11. Cliquez sur Suivant.

12. Facultatif : Ajoutez un tag de description.

13. Cliquez sur Créer une clé d'accès.

14. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour référence ultérieure.

15. Cliquez sur OK.

16. Sélectionnez l'onglet Autorisations.

17. Cliquez sur Ajouter des autorisations dans la section Règles relatives aux autorisations.

18. Sélectionnez Ajouter des autorisations.

19. Sélectionnez Joindre directement des règles.

20. Recherchez et sélectionnez chronicle-iam-api-read-policy.

21. Cliquez sur Suivant.

22. Cliquez sur Ajouter des autorisations.

Configurer un flux dans Google SecOps pour ingérer les données de configuration IAM

Utiliser le hub de contenus (recommandé)

1. Accédez à Plate-forme de contenu > Packs de contenu > Commencer.
2. Cliquez sur le pack Amazon Cloud Platform.
3. Recherchez le type de journal AWS IAM.
4. Sélectionnez API tierce dans le menu déroulant Type de source.
5. Fournissez les informations de configuration suivantes :
   • Nom d'utilisateur : ID de clé d'accès de l'utilisateur IAM créé précédemment.
   • Secret : clé d'accès secrète de l'utilisateur IAM créé précédemment.
   • Nom du flux : valeur préremplie qui identifie le flux (par exemple, AWS IAM API Configuration).
   • Espace de noms de l'élément : espace de noms associé au flux.
   • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
6. Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Utiliser les paramètres SIEM

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Sur la page suivante, cliquez sur Configurer un seul flux.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, AWS IAM API Configuration).
5. Sélectionnez API tierce comme type de source.
6. Sélectionnez AWS IAM comme type de journal.
7. Cliquez sur Suivant.

8. Spécifiez les valeurs des paramètres d'entrée suivants :

   • Nom d'utilisateur : ID de clé d'accès de l'utilisateur IAM créé précédemment.
   • Secret : clé d'accès secrète de l'utilisateur IAM créé précédemment.
   • Région : région AWS (par exemple, us-east-1).
   • Espace de noms de l'élément : espace de noms de l'élément.
   • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

9. Cliquez sur Suivant.

10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
Arn	entity.entity.resource.name	Mappé directement à partir du champ ARN. S'applique à différents types d'entités. Pour le type d'entité GROUP, mappé à partir de Group.Arn.
AssumeRolePolicyDocument	entity.entity.resource.attribute.permissions.name	Mappé directement à partir du champ "AssumeRolePolicyDocument", mais uniquement pour le type d'entité RESOURCE.
CreateDate	entity.entity.user.attribute.creation_time	Directement mappé à partir du champ "CreateDate" et converti au format d'horodatage de Chronicle.
CreateDate	entity.entity.resource.attribute.creation_time	Directement mappé à partir du champ "CreateDate" et converti au format d'horodatage de Chronicle.
Group.Arn	entity.entity.resource.name	Mappé directement à partir du champ Group.Arn.
Group.CreateDate	entity.entity.group.attribute.creation_time	Directement mappé à partir du champ "Group.CreateDate" et converti au format d'horodatage de Chronicle.
Group.GroupID	entity.entity.group.product_object_id	Mappé directement à partir du champ Group.GroupID.
Group.GroupName	entity.entity.group.group_display_name	Mappé directement à partir du champ Group.GroupName.
Group.GroupName	entity.entity.group.email_addresses	Mappé directement à partir du champ Group.GroupName.
Group.Path	entity.entity.group.attribute.labels.value	La clé est directement mappée à partir du champ Group.Path et est codée en dur sur le chemin d'accès.
IsTruncated	entity.entity.group.attribute.labels.value	Directement mappée à partir du champ "IsTruncated" converti en chaîne, la clé est codée en dur sur "is_truncated".
Marker	entity.entity.group.attribute.labels.value	La clé est mappée directement à partir du champ "Repère" et est codée en dur sur "marker".
PasswordLastUsed	entity.entity.user.last_login_time	Directement mappé à partir du champ "PasswordLastUsed" et converti au format d'horodatage de Chronicle.
Path	entity.entity.user.attribute.labels.value	Directement mappée à partir du champ "Chemin d'accès" pour le type d'entité USER, la clé est codée en dur sur le chemin d'accès.
Path	entity.entity.resource.attribute.labels.value	Directement mappée à partir du champ "Chemin d'accès" pour le type d'entité RESSOURCE, la clé est codée en dur sur le chemin d'accès.
PermissionsBoundary.PermissionsBoundaryArn	entity.entity.resource.attribute.labels.value	Directement mappée à partir du champ PermissionsBoundary.PermissionsBoundaryArn, la clé est codée en dur sur permissions_boundary_arn.
PermissionsBoundary.PermissionsBoundaryType	entity.entity.resource.attribute.labels.value	Directement mappée à partir du champ PermissionsBoundary.PermissionsBoundaryType, la clé est codée en dur sur permissions_boundary_type.
RoleID	entity.entity.resource.product_object_id	Mappé directement à partir du champ "RoleID".
RoleLastUsed.LastUsedDate	entity.entity.resource.attribute.labels.value	Directement mappée à partir du champ RoleLastUsed.LastUsedDate, la clé est codée en dur sur role_last_used_date.
RoleLastUsed.Region	entity.entity.location.name	Mappé directement à partir du champ RoleLastUsed.Region.
RoleName	entity.entity.resource.attribute.roles.name	Mappé directement à partir du champ "RoleName".
Tags.Key	entity.entity.user.attribute.labels.key	Utilisé comme clé pour les libellés dans l'entité utilisateur.
Tags.Value	entity.entity.user.attribute.labels.value	Utilisé comme valeur pour les libellés dans l'entité utilisateur.
UserID	entity.entity.user.product_object_id	Mappé directement à partir du champ "UserID".
UserName	entity.entity.user.userid	Mappé directement à partir du champ "UserName".
Users.Arn	relations.entity.resource.name	Mappé directement à partir du champ Users.Arn dans la relation utilisateur.
Users.CreateDate	relations.entity.user.attribute.creation_time	Directement mappé à partir du champ "Users.CreateDate" dans la relation utilisateur et converti au format d'horodatage de Chronicle.
Users.PasswordLastUsed	relations.entity.user.last_login_time	Directement mappé à partir du champ "Users.PasswordLastUsed" dans la relation utilisateur et converti au format d'horodatage de Chronicle.
Users.Path	relations.entity.user.attribute.labels.value	La clé est directement mappée à partir du champ "Users.Path" dans la relation utilisateur et est codée en dur sur le chemin d'accès.
Users.PermissionsBoundary.PermissionsBoundaryArn	relations.entity.resource.attribute.labels.value	Directement mappée à partir du champ Users.PermissionsBoundary.PermissionsBoundaryArn dans la relation utilisateur, la clé est codée en dur sur permissions_boundary_arn.
Users.PermissionsBoundary.PermissionsBoundaryType	relations.entity.resource.attribute.labels.value	Directement mappée à partir du champ Users.PermissionsBoundary.PermissionsBoundaryType dans la relation utilisateur, la clé est codée en dur sur permissions_boundary_type.
Users.UserID	relations.entity.user.product_object_id	Mappé directement à partir du champ Users.UserID dans la relation utilisateur.
Users.UserName	relations.entity.user.userid	Directement mappé à partir du champ Users.UserName dans la relation utilisateur.
N/A	entity.metadata.collected_timestamp	Valeur insérée avec le code temporel d'ingestion de l'événement.
N/A	entity.metadata.vendor_name	Codé en dur pour AWS.
N/A	entity.metadata.product_name	Codé en dur pour AWS IAM.
N/A	entity.metadata.entity_type	Déterminé en fonction de la présence de champs spécifiques : USER si UserID existe, RESOURCE si RoleID existe, GROUP si Group.GroupName existe.
N/A	entity.entity.resource.resource_subtype	Définissez "User" (Utilisateur) pour les types d'entité USER et "Role" (Rôle) pour les types d'entité RESOURCE.
N/A	entity.entity.resource.resource_type	Définissez sur ACCESS_POLICY pour le type d'entité RESOURCE.
N/A	entity.entity.resource.attribute.cloud.environment	Codé en dur sur AMAZON_WEB_SERVICES.
N/A	relations.entity_type	Codé en dur sur USER pour les relations utilisateur.
N/A	relations.relationship	Codé en dur sur MEMBER pour les relations entre les groupes d'utilisateurs.
N/A	relations.direction	Codé en dur sur UNIDIRECTIONAL.
N/A	relations.entity.resource.resource_subtype	Codé en dur sur "Utilisateur" pour les relations utilisateur.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.