Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudTrail Anwendungsfälle für Identity Center IAM
Die CloudTrail Ereignisse, die IAM Identity Center ausgibt, können für eine Vielzahl von Anwendungsfällen nützlich sein. Organizations können diese Ereignisprotokolle verwenden, um den Benutzerzugriff und die Benutzeraktivitäten in ihrer AWS Umgebung zu überwachen und zu prüfen. Dies kann bei Anwendungsfällen zur Einhaltung von Vorschriften hilfreich sein, da in den Protokollen Informationen darüber erfasst werden, wer wann auf welche Ressourcen zugreift. Sie können die CloudTrail Daten auch für die Untersuchung von Vorfällen verwenden, sodass Teams Benutzeraktionen analysieren und verdächtiges Verhalten verfolgen können. Darüber hinaus kann der Ereignisverlauf bei der Problembehebung helfen und bietet Einblick in Änderungen, die im Laufe der Zeit an Benutzerberechtigungen und Konfigurationen vorgenommen wurden.
In den folgenden Abschnitten werden die grundlegenden Anwendungsfälle beschrieben, die Ihre Workflows wie Audits, Untersuchung von Vorfällen und Problembehebung beeinflussen.
Identifizieren des Benutzers und der Sitzung bei von Benutzern IAM ausgelösten Identity Center-Ereignissen CloudTrail
IAMIdentity Center gibt zwei CloudTrail Felder aus, anhand derer Sie den IAM Identity Center-Benutzer identifizieren können, der hinter den CloudTrail Ereignissen steht, z. B. der Anmeldung bei IAM Identity Center oder AWS CLI der Nutzung des AWS Zugriffsportals, einschließlich der Verwaltung von MFA Geräten:
userId
— Die eindeutige und unveränderliche Benutzer-ID aus dem Identity Store einer IAM Identity Center-Instanz.identityStoreArn
— Der Amazon-Ressourcenname (ARN) des Identity Store, der den Benutzer enthält.
Die identityStoreArn
Felder userID
und werden in dem innerhalb des onBehalfOf
Elements verschachtelten userIdentity
Element angezeigt, wie im folgenden Beispiel gezeigt. In diesem Beispiel werden diese beiden Felder bei einem Ereignis mit dem userIdentity
Typ "IdentityCenterUser
“ dargestellt. Sie finden diese Felder auch bei Ereignissen für authentifizierte IAM Identity Center-Benutzer, bei denen der userIdentity
Typ "Unknown
“ ist. Ihre Workflows sollten beide Typwerte akzeptieren.
"userIdentity":{
"type":"IdentityCenterUser",
"accountId":"111122223333",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7"
}
Anmerkung
Wir empfehlen Ihnen, userId
und zu verwenden, identityStoreArn
um den Benutzer zu identifizieren, der hinter IAM Identity CloudTrail Center-Ereignissen steht. Vermeiden Sie es, die Felder userName
oder principalId
unter dem userIdentity
Element zu verwenden, wenn Sie die Aktionen eines IAM Identity Center-Benutzers verfolgen, der sich anmeldet und das AWS Zugriffsportal verwendet. Wenn Ihre Workflows, wie z. B. die Prüfung oder die Reaktion auf Vorfälle, davon abhängen, dass Sie Zugriff auf den Benutzernamen haben, haben Sie zwei Möglichkeiten:
Rufen Sie den Benutzernamen aus dem IAM Identity Center-Verzeichnis ab, wie in diesem Abschnitt beschrieben.
Rufen Sie den
UserName
Wert ab, den IAM Identity Center unter demadditionalEventData
Element in der Anmeldung ausgibt. Für diese Option ist kein Zugriff auf das IAM Identity Center-Verzeichnis erforderlich. Weitere Informationen finden Sie unter Benutzername bei Anmeldeereignissen CloudTrail .
Um die Details eines Benutzers, einschließlich des username
Felds, abzurufen, fragen Sie den Identity Store mit Benutzer-ID und Identity Store-ID als Parametern ab. Sie können diese Aktion über die DescribeUser
APIAnfrage oder über die ausführenCLI. Im Folgenden finden Sie einen CLI Beispielbefehl. Sie können den region
Parameter weglassen, wenn sich Ihre IAM Identity Center-Instanz in der CLI Standardregion befindet.
aws identitystore describe-user \ --identity-store-id d-1234567890 \ --user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \ --region
your-region-id
Um den Identity Store ID-Wert für den CLI Befehl im vorherigen Beispiel zu ermitteln, können Sie die Identity Store-ID aus dem identityStoreArn
Wert extrahieren. In dem ARN arn:aws:identitystore::111122223333:identitystore/d-1234567890
Beispiel lautet die Identity Store IDd-1234567890
. Alternativ können Sie die Identity Store-ID finden, indem Sie im Bereich Einstellungen der Identity Center-Konsole zur Registerkarte IAM Identity Store navigieren.
Wenn Sie die Suche nach Benutzern im IAM Identity Center-Verzeichnis automatisieren, empfehlen wir Ihnen, die Häufigkeit der Benutzersuchen abzuschätzen und die IAMIdentity Center-Drosselung für den Identity Store zu berücksichtigen. API Das Zwischenspeichern von abgerufenen Benutzerattributen kann Ihnen helfen, die Drosselungsgrenze einzuhalten.
Der credentialId
Wert wird auf die ID der Sitzung des IAM Identity Center-Benutzers gesetzt, mit der die Aktion angefordert wurde. Sie können diesen Wert verwenden, um CloudTrail Ereignisse zu identifizieren, die innerhalb derselben authentifizierten IAM Identity Center-Benutzersitzung ausgelöst wurden, mit Ausnahme von Anmeldeereignissen.
Anmerkung
Das bei Anmeldeereignissen ausgegebene AuthWorkflowID
Feld ermöglicht die Nachverfolgung aller CloudTrail Ereignisse, die mit einer Anmeldesequenz vor Beginn einer IAM Identity Center-Benutzersitzung verknüpft sind.
Korrelierung von Benutzern zwischen IAM Identity Center und externen Verzeichnissen
IAMIdentity Center bietet zwei Benutzerattribute, mit denen Sie einen Benutzer in seinem Verzeichnis demselben Benutzer in einem externen Verzeichnis zuordnen können (z. B. Microsoft Active Directory and Okta Universal Directory).
externalId
— Die externe Kennung eines IAM Identity Center-Benutzers. Wir empfehlen, diese Kennung einer unveränderlichen Benutzer-ID im externen Verzeichnis zuzuordnen. Beachten Sie, dass IAM Identity Center diesen Wert nicht in CloudTrail ausgibt.username
— Ein vom Kunden bereitgestellter Wert, mit dem sich Benutzer normalerweise anmelden. Der Wert kann sich ändern (z. B. bei einem SCIM Update). Beachten Sie, dass, wenn die Identitätsquelle ist AWS Directory Service, der Benutzername, den IAM Identity Center ausgibt, CloudTrail mit dem Benutzernamen übereinstimmt, den Sie zur Authentifizierung eingeben. Der Benutzername muss nicht exakt mit dem Benutzernamen im IAM Identity Center-Verzeichnis übereinstimmen.Wenn Sie Zugriff auf die CloudTrail Ereignisse, aber nicht auf das IAM Identity Center-Verzeichnis haben, können Sie den Benutzernamen verwenden, der bei der Anmeldung unter dem
additionalEventData
Element angegeben wurde. Weitere Informationen zum Benutzernamen inadditionalEventData
finden Sie unter. Benutzername bei Anmeldeereignissen CloudTrail
Die Zuordnung dieser beiden Benutzerattribute zu den entsprechenden Benutzerattributen in einem externen Verzeichnis ist in IAM Identity Center definiert, wenn die Identitätsquelle die ist AWS Directory Service. Weitere Informationen finden Sie unter Attributzuordnungen für Verzeichnisse AWS Managed Microsoft AD. Externe IdPs , die Benutzern Zugriff gewährenSCIM, haben ihre eigene Zuordnung. Selbst wenn Sie das IAM Identity Center-Verzeichnis als Identitätsquelle verwenden, können Sie das externalId
Attribut verwenden, um Sicherheitsprinzipale mit Ihrem externen Verzeichnis zu verknüpfen.
Im folgenden Abschnitt wird erklärt, wie Sie anhand des Benutzernamens und nach einem IAM Identity username
Center-Benutzer suchen können. externalId
Einen IAM Identity Center-Benutzer anhand seines Benutzernamens anzeigen und externalId
Sie können Benutzerattribute für einen bekannten Benutzernamen aus dem IAM Identity Center-Verzeichnis abrufen, indem Sie zunächst userId
mithilfe der GetUserId
APIAnfrage eine entsprechende Anfrage anfordern und dann eine DescribeUser
APIAnfrage stellen, wie im vorherigen Beispiel gezeigt. Das folgende Beispiel zeigt, wie Sie eine userId
aus dem Identity Store für einen bestimmten Benutzernamen abrufen können. Sie können den region
Parameter weglassen, wenn sich Ihre IAM Identity Center-Instanz in der Standardregion mit dem CLI befindet.
aws identitystore get-user-id \ --identity-store d-9876543210 \ --alternate-identifier '{ "UniqueAttribute": { "AttributePath": "username", "AttributeValue": "
anyuser@example.com
" } }' \ --region your-region-id
In ähnlicher Weise können Sie denselben Mechanismus verwenden, wenn Sie den externalId
kennen. Aktualisieren Sie den Attributpfad im vorherigen Beispiel mit dem externalId
Wert und den Attributwert mit dem spezifischen externalId
Wert, nach dem Sie suchen.
Den Secure Identifier (SID) eines Benutzers in Microsoft Active Directory (AD) anzeigen
In bestimmten Fällen sendet IAM Identity Center die principalId
CloudTrail Ereignisse eines Benutzers SID aus, z. B. solche, die das Portal AWS aufrufen und OIDC APIs senden. Diese Fälle werden schrittweise eingestellt. Wir empfehlen, dass Ihre Workflows das AD-Attribut verwendenobjectguid
, wenn Sie eine eindeutige Benutzer-ID von AD benötigen. Sie finden diesen Wert im externalId
Attribut im IAM Identity Center-Verzeichnis. Wenn Ihre Workflows jedoch die Verwendung von erfordernSID, rufen Sie den Wert aus AD ab, da er nicht über IAM Identity Center verfügbar istAPIs.
Korrelierung von Benutzern zwischen IAM Identity Center und externen Verzeichnissenerläutert, wie Sie die username
Felder externalId
und verwenden können, um einen IAM Identity Center-Benutzer mit einem passenden Benutzer in einem externen Verzeichnis zu korrelieren. Standardmäßig ist IAM Identity Center externalId
dem objectguid
Attribut in AD zugeordnet, und diese Zuordnung ist behoben. IAM Identity Center bietet Administratoren die Flexibilität, eine username
andere Zuordnung als die Standardzuweisung userprincipalname
in AD vorzunehmen.
Sie können diese Zuordnungen in der IAM Identity Center-Konsole anzeigen. Navigieren Sie in den Einstellungen zur Registerkarte „Identitätsquelle“ und wählen Sie im Menü „Aktionen“ die Option Synchronisierung verwalten aus. Wählen Sie im Bereich „Synchronisation verwalten“ die Schaltfläche „Attributzuordnungen anzeigen“.
Sie können zwar jede eindeutige AD-Benutzerkennung verwenden, die in IAM Identity Center verfügbar ist, um nach einem Benutzer in AD zu suchen, wir empfehlen jedoch, die objectguid
in Ihren Abfragen zu verwenden, da es sich um eine unveränderliche Kennung handelt. Das folgende Beispiel zeigt, wie Microsoft AD mit Powershell abgefragt wird, um einen Benutzer mit dem objectguid
Benutzerwert von 16809ecc-7225-4c20-ad98-30094aefdbca
abzurufen. Eine erfolgreiche Antwort auf diese Abfrage beinhaltet den des BenutzersSID.
Install-WindowsFeature -Name RSAT-AD-PowerShell
Get-ADUser `
-Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} `
-Properties *