Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anmeldung bei Amazon Cognito AWS CloudTrail
Amazon Cognito ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon Cognito ausgeführt wurden. CloudTrail erfasst eine Teilmenge von API Aufrufen für Amazon Cognito als Ereignisse, einschließlich Aufrufe von der Amazon Cognito Cognito-Konsole und von Codeaufrufen an die Amazon Cognito Cognito-Operationen. API Wenn Sie einen Trail erstellen, können Sie wählen, ob CloudTrail Ereignisse an einen Amazon S3-Bucket gesendet werden sollen, einschließlich Ereignisse für Amazon Cognito. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im Ereignisverlauf anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon Cognito gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen darüber CloudTrail, einschließlich der Konfiguration und Aktivierung, finden Sie im AWS CloudTrail Benutzerhandbuch.
Sie können auch CloudWatch Amazon-Alarme für bestimmte CloudTrail Ereignisse erstellen. Sie können beispielsweise einrichten, dass ein Alarm ausgelöst wird CloudWatch , wenn die Konfiguration eines Identitätspools geändert wird. Weitere Informationen finden Sie unter CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele.
Themen
Informationen, an die Amazon Cognito sendet CloudTrail
CloudTrail ist aktiviert, wenn Sie Ihre AWS-Konto erstellen. Wenn unterstützte Ereignisaktivitäten in Amazon Cognito auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail Ereignisverlauf in einem Ereignis aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.
Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Amazon Cognito, erstellen Sie einen Trail. Ein CloudTrail Trail liefert Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie ein Trail in der Konsole anlegen, gilt dieser für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter:
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
-
Ob die Anfrage mit Root- oder IAM Benutzeranmeldedaten gestellt wurde.
-
Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
-
Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie im CloudTrail userIdentity Element.
Vertrauliche Daten in AWS CloudTrail
Da Benutzerpools und Identitätspools Benutzerdaten verarbeiten, verdeckt Amazon Cognito einige private Felder in Ihren CloudTrail Veranstaltungen mit dem Wert. HIDDEN_FOR_SECURITY_REASONS Beispiele für Felder, die Amazon Cognito bei Ereignissen nicht ausfüllt, finden Sie unter Beispiele für Amazon Cognito Cognito-Ereignisse. Amazon Cognito verdeckt nur einige Felder, die üblicherweise Benutzerinformationen enthalten, wie Passwörter und Token. Amazon Cognito führt keine automatische Erkennung oder Maskierung von personenbezogenen Daten durch, die Sie in Ihren Anfragen in nicht private Felder eingeben. API
Ereignisse werden von Benutzern gepoolt
Amazon Cognito unterstützt die Protokollierung aller Aktionen, die auf der Seite Benutzerpool-Aktionen aufgeführt sind, als Ereignisse in CloudTrail Protokolldateien. Amazon Cognito protokolliert Benutzerpool-Ereignisse CloudTrail als Verwaltungsereignisse.
Das eventType Feld in einem Amazon Cognito CloudTrail Cognito-Benutzerpool-Eintrag gibt an, ob Ihre App die Anfrage an die Amazon Cognito Cognito-Benutzerpools API oder an einen Endpunkt gestellt hat, der Ressourcen für OpenID Connect, SAML 2.0 oder die gehostete Benutzeroberfläche bereitstellt. APIAnfragen haben ein eventType Von AwsApiCall und Endpunktanfragen haben ein Von. eventType AwsServiceEvent
Amazon Cognito protokolliert die folgenden gehosteten UI-Anfragen auf Ihrer gehosteten Benutzeroberfläche als Ereignisse in CloudTrail.
| Operation | Beschreibung |
|---|---|
Login_GET, CognitoAuthentication |
Ein Benutzer sieht Ihre Anmeldeinformationen an oder sendet sie an Ihren Login-Endpunkt. |
OAuth2_Authorize_GET, Beta_Authorize_GET |
Ein Benutzer sieht Ihren Autorisieren des Endpunkts an. |
OAuth2Response_GET, OAuth2Response_POST |
Ein Benutzer sendet ein IdP-Token an Ihren /oauth2/idpresponse-Endpunkt. |
SAML2Response_POST, Beta_SAML2Response_POST |
Ein Benutzer sendet eine SAML IdP-Assertion an Ihren Endpunkt. /saml2/idpresponse |
Login_OIDC_SAML_POST |
Ein Benutzer gibt einen Benutzernamen in Ihrem Login-Endpunkt ein und stimmt mit einer IdP-Kennung überein. |
Token_POST, Beta_Token_POST |
Ein Benutzer sendet einen Autorisierungscode an Ihren Token-Endpunkt. |
Signup_GET, Signup_POST |
Ein Benutzer sendet Anmeldeinformationen an Ihren /signup-Endpunkt. |
Confirm_GET, Confirm_POST |
Ein Benutzer sendet in der gehosteten UI einen Bestätigungscode. |
ResendCode_POST |
Ein Benutzer sendet eine Anfrage zum erneuten Senden eines Bestätigungscodes in der gehosteten UI. |
ForgotPassword_GET, ForgotPassword_POST |
Ein Benutzer sendet eine Anfrage zum Zurücksetzen seines Passworts an Ihren /forgotPassword-Endpunkt. |
ConfirmForgotPassword_GET,
ConfirmForgotPassword_POST |
Ein Benutzer sendet einen Code an Ihren /confirmForgotPassword-Endpunkt, der seine ForgotPassword-Anfrage bestätigt. |
ResetPassword_GET, ResetPassword_POST |
Ein Benutzer sendet in der gehosteten UI ein neues Passwort. |
Mfa_GET, Mfa_POST |
Ein Benutzer sendet einen Multi-Faktor-Authentifizierungscode (MFA) in der gehosteten Benutzeroberfläche. |
MfaOption_GET, MfaOption_POST |
Ein Benutzer wählt seine bevorzugte Methode für MFA in der gehosteten Benutzeroberfläche. |
MfaRegister_GET, MfaRegister_POST |
Ein Benutzer übermittelt bei der Registrierung von einen Multi-Faktor-Authentifizierungscode (MFA) in der gehosteten Benutzeroberfläche. MFA |
Logout |
Ein Benutzer meldet sich bei Ihrem /logout-Endpunkt ab. |
SAML2Logout_POST |
Ein Benutzer meldet sich bei Ihrem /saml2/logout-Endpunkt ab. |
Error_GET |
Ein Benutzer sieht eine Fehlerseite in der gehosteten UI. |
UserInfo_GET, UserInfo_POST |
Ein Benutzer oder IdP tauscht Informationen mit Ihrem userInfo Endpunkt aus. |
Confirm_With_Link_GET |
Ein Benutzer sendet eine Bestätigung, die auf einem Link basiert, den Amazon Cognito in einer E-Mail-Nachricht gesendet hat. |
Event_Feedback_GET |
Ein Benutzer gibt Feedback an Amazon Cognito zu einem Ereignis mit erweiterten Sicherheitsfunktionen. |
Anmerkung
Amazon Cognito zeichnet Anfragen auf, die für einen Benutzer spezifisch sind, UserSub jedoch nicht UserName in CloudTrail Protokollen. Sie können einen Benutzer für einen bestimmten Bereich finden ListUsersAPI, UserSub indem Sie den aufrufen und einen Filter für ein Abonnement verwenden.
Identitätspools von Ereignissen
Datenereignisse
Amazon Cognito protokolliert die folgenden Amazon Cognito Identity-Ereignisse CloudTrail als Datenereignisse. Bei Datenereignissen handelt es sich um umfangreiche API Datenebenenvorgänge, die standardmäßig CloudTrail nicht protokolliert werden. Für Datenereignisse werden zusätzliche Gebühren fällig.
Um CloudTrail Protokolle für diese API Operationen zu generieren, müssen Sie Datenereignisse in Ihrem Trail aktivieren und Event-Selektoren für Cognito-Identitätspools auswählen. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen für Trails im AWS CloudTrail -Benutzerhandbuch.
Mit dem folgenden Befehl können Sie Ihrem Trail auch Event-Selektoren für Identitätspools hinzufügen. CLI
aws cloudtrail put-event-selectors --trail-name<trail name>--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
Verwaltungsereignisse
Amazon Cognito protokolliert die restlichen API Vorgänge der Amazon Cognito Cognito-Identitätspools als Verwaltungsereignisse. CloudTrail protokolliert standardmäßig API Vorgänge bei Verwaltungsereignissen.
Eine Liste der Amazon API Cognito-Identitätspools-Operationen, bei denen Amazon Cognito sich anmeldet CloudTrail, finden Sie in der Amazon Cognito Cognito-Identitätspools-Referenz. API
Amazon Cognito Sync
Amazon Cognito protokolliert alle Amazon Cognito API Sync-Vorgänge als Verwaltungsereignisse. Eine Liste der Amazon Cognito API Sync-Vorgänge, bei denen Amazon Cognito sich anmeldet CloudTrail, finden Sie in der Amazon Cognito Sync-Referenz. API
Analysieren von Amazon Cognito CloudTrail Cognito-Ereignissen mit Amazon CloudWatch Logs Insights
Sie können Ihre Amazon CloudTrail Cognito-Ereignisse mit Amazon CloudWatch Logs Insights suchen und analysieren. Wenn Sie Ihren Trail so konfigurieren, dass Ereignisse an CloudWatch Logs gesendet werden, werden nur die Ereignisse CloudTrail gesendet, die Ihren Trail-Einstellungen entsprechen.
Um Ihre Amazon Cognito CloudTrail Cognito-Ereignisse abzufragen oder zu recherchieren, stellen Sie in der CloudTrail Konsole sicher, dass Sie in Ihren Trail-Einstellungen die Option Verwaltungsereignisse auswählen, damit Sie die auf Ihren AWS Ressourcen ausgeführten Verwaltungsvorgänge überwachen können. Sie können in Ihren Trail-Einstellungen optional die Option Insights–Ereignisse auswählen, wenn Sie Fehler, ungewöhnliche Aktivitäten oder ungewöhnliches Benutzerverhalten in Ihrem Konto identifizieren möchten.
Beispiele für Amazon-Cognito-Abfragen
Sie können die folgenden Abfragen in der CloudWatch Amazon-Konsole verwenden.
Allgemeine Abfragen
Findet die 25 zuletzt hinzugefügten Protokollereignisse.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"
Rufen Sie eine Liste der 25 zuletzt hinzugefügten Protokollereignisse ab, die Ausnahmen enthalten.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
Ausnahme- und Fehlerabfragen
Suchen Sie die 25 zuletzt hinzugefügten Protokollereignisse mit Fehlercode NotAuthorizedException zusammen mit dem Amazon-Cognito-Benutzerpool sub.
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
Finden Sie die Anzahl der Datensätze mit sourceIPAddress und entsprechendem eventName.
filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName
Finden Sie die Top 25 IP-Adressen, die einen NotAuthorizedException-Fehler ausgelöst haben.
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25
Finden Sie die 25 wichtigsten IP-Adressen, die den aufgerufen haben ForgotPasswordAPI.
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25
