Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

CloudTrail Anwendungsfälle für Identity Center IAM - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Anwendungsfälle für Identity Center IAM

Die CloudTrail Ereignisse, die IAM Identity Center ausgibt, können für eine Vielzahl von Anwendungsfällen nützlich sein. Organizations können diese Ereignisprotokolle verwenden, um den Benutzerzugriff und die Benutzeraktivitäten in ihrer AWS Umgebung zu überwachen und zu prüfen. Dies kann bei Anwendungsfällen zur Einhaltung von Vorschriften hilfreich sein, da in den Protokollen Informationen darüber erfasst werden, wer wann auf welche Ressourcen zugreift. Sie können die CloudTrail Daten auch für die Untersuchung von Vorfällen verwenden, sodass Teams Benutzeraktionen analysieren und verdächtiges Verhalten verfolgen können. Darüber hinaus kann der Ereignisverlauf bei der Problembehebung helfen und bietet Einblick in Änderungen, die im Laufe der Zeit an Benutzerberechtigungen und Konfigurationen vorgenommen wurden.

In den folgenden Abschnitten werden die grundlegenden Anwendungsfälle beschrieben, die Ihre Workflows wie Audits, Untersuchung von Vorfällen und Problembehebung beeinflussen.

Identifizieren des Benutzers und der Sitzung bei von Benutzern IAM ausgelösten Identity Center-Ereignissen CloudTrail

IAMIdentity Center gibt zwei CloudTrail Felder aus, anhand derer Sie den IAM Identity Center-Benutzer identifizieren können, der hinter den CloudTrail Ereignissen steht, z. B. der Anmeldung bei IAM Identity Center oder AWS CLI der Nutzung des AWS Zugriffsportals, einschließlich der Verwaltung von MFA Geräten:

  • userId— Die eindeutige und unveränderliche Benutzer-ID aus dem Identity Store einer IAM Identity Center-Instanz.

  • identityStoreArn— Der Amazon-Ressourcenname (ARN) des Identity Store, der den Benutzer enthält.

Die identityStoreArn Felder userID und werden in dem innerhalb des onBehalfOf Elements verschachtelten userIdentityElement angezeigt, wie im folgenden Beispiel gezeigt. In diesem Beispiel werden diese beiden Felder bei einem Ereignis mit dem userIdentity Typ "IdentityCenterUser“ dargestellt. Sie finden diese Felder auch bei Ereignissen für authentifizierte IAM Identity Center-Benutzer, bei denen der userIdentity Typ "Unknown“ ist. Ihre Workflows sollten beide Typwerte akzeptieren.

"userIdentity":{ "type":"IdentityCenterUser", "accountId":"111122223333", "onBehalfOf": { "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1", "identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" }, "credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7" }
Anmerkung

Wir empfehlen Ihnen, userId und zu verwenden, identityStoreArn um den Benutzer zu identifizieren, der hinter IAM Identity CloudTrail Center-Ereignissen steht. Vermeiden Sie es, die Felder userName oder principalId unter dem userIdentity Element zu verwenden, wenn Sie die Aktionen eines IAM Identity Center-Benutzers verfolgen, der sich anmeldet und das AWS Zugriffsportal verwendet. Wenn Ihre Workflows, wie z. B. die Prüfung oder die Reaktion auf Vorfälle, davon abhängen, dass Sie Zugriff auf den Benutzernamen haben, haben Sie zwei Möglichkeiten:

  • Rufen Sie den Benutzernamen aus dem IAM Identity Center-Verzeichnis ab, wie in diesem Abschnitt beschrieben.

  • Rufen Sie den UserName Wert ab, den IAM Identity Center unter dem additionalEventData Element in der Anmeldung ausgibt. Für diese Option ist kein Zugriff auf das IAM Identity Center-Verzeichnis erforderlich. Weitere Informationen finden Sie unter Benutzername bei Anmeldeereignissen CloudTrail .

Um die Details eines Benutzers, einschließlich des username Felds, abzurufen, fragen Sie den Identity Store mit Benutzer-ID und Identity Store-ID als Parametern ab. Sie können diese Aktion über die DescribeUserAPIAnfrage oder über die ausführenCLI. Im Folgenden finden Sie einen CLI Beispielbefehl. Sie können den region Parameter weglassen, wenn sich Ihre IAM Identity Center-Instanz in der CLI Standardregion befindet.

aws identitystore describe-user \ --identity-store-id d-1234567890 \ --user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \ --region your-region-id

Um den Identity Store ID-Wert für den CLI Befehl im vorherigen Beispiel zu ermitteln, können Sie die Identity Store-ID aus dem identityStoreArn Wert extrahieren. In dem ARN arn:aws:identitystore::111122223333:identitystore/d-1234567890 Beispiel lautet die Identity Store IDd-1234567890. Alternativ können Sie die Identity Store-ID finden, indem Sie im Bereich Einstellungen der Identity Center-Konsole zur Registerkarte IAM Identity Store navigieren.

Wenn Sie die Suche nach Benutzern im IAM Identity Center-Verzeichnis automatisieren, empfehlen wir Ihnen, die Häufigkeit der Benutzersuchen abzuschätzen und die IAMIdentity Center-Drosselung für den Identity Store zu berücksichtigen. API Das Zwischenspeichern von abgerufenen Benutzerattributen kann Ihnen helfen, die Drosselungsgrenze einzuhalten.

Der credentialId Wert wird auf die ID der Sitzung des IAM Identity Center-Benutzers gesetzt, mit der die Aktion angefordert wurde. Sie können diesen Wert verwenden, um CloudTrail Ereignisse zu identifizieren, die innerhalb derselben authentifizierten IAM Identity Center-Benutzersitzung ausgelöst wurden, mit Ausnahme von Anmeldeereignissen.

Anmerkung

Das bei Anmeldeereignissen ausgegebene AuthWorkflowIDFeld ermöglicht die Nachverfolgung aller CloudTrail Ereignisse, die mit einer Anmeldesequenz vor Beginn einer IAM Identity Center-Benutzersitzung verknüpft sind.

Korrelierung von Benutzern zwischen IAM Identity Center und externen Verzeichnissen

IAMIdentity Center bietet zwei Benutzerattribute, mit denen Sie einen Benutzer in seinem Verzeichnis demselben Benutzer in einem externen Verzeichnis zuordnen können (z. B. Microsoft Active Directory and Okta Universal Directory).

  • externalId— Die externe Kennung eines IAM Identity Center-Benutzers. Wir empfehlen, diese Kennung einer unveränderlichen Benutzer-ID im externen Verzeichnis zuzuordnen. Beachten Sie, dass IAM Identity Center diesen Wert nicht in CloudTrail ausgibt.

  • username— Ein vom Kunden bereitgestellter Wert, mit dem sich Benutzer normalerweise anmelden. Der Wert kann sich ändern (z. B. bei einem SCIM Update). Beachten Sie, dass, wenn die Identitätsquelle ist AWS Directory Service, der Benutzername, den IAM Identity Center ausgibt, CloudTrail mit dem Benutzernamen übereinstimmt, den Sie zur Authentifizierung eingeben. Der Benutzername muss nicht exakt mit dem Benutzernamen im IAM Identity Center-Verzeichnis übereinstimmen.

    Wenn Sie Zugriff auf die CloudTrail Ereignisse, aber nicht auf das IAM Identity Center-Verzeichnis haben, können Sie den Benutzernamen verwenden, der bei der Anmeldung unter dem additionalEventData Element angegeben wurde. Weitere Informationen zum Benutzernamen in additionalEventData finden Sie unter. Benutzername bei Anmeldeereignissen CloudTrail

Die Zuordnung dieser beiden Benutzerattribute zu den entsprechenden Benutzerattributen in einem externen Verzeichnis ist in IAM Identity Center definiert, wenn die Identitätsquelle die ist AWS Directory Service. Weitere Informationen finden Sie unter Attributzuordnungen für Verzeichnisse AWS Managed Microsoft AD. Externe IdPs , die Benutzern Zugriff gewährenSCIM, haben ihre eigene Zuordnung. Selbst wenn Sie das IAM Identity Center-Verzeichnis als Identitätsquelle verwenden, können Sie das externalId Attribut verwenden, um Sicherheitsprinzipale mit Ihrem externen Verzeichnis zu verknüpfen.

Im folgenden Abschnitt wird erklärt, wie Sie anhand des Benutzernamens und nach einem IAM Identity username Center-Benutzer suchen können. externalId

Einen IAM Identity Center-Benutzer anhand seines Benutzernamens anzeigen und externalId

Sie können Benutzerattribute für einen bekannten Benutzernamen aus dem IAM Identity Center-Verzeichnis abrufen, indem Sie zunächst userId mithilfe der GetUserIdAPIAnfrage eine entsprechende Anfrage anfordern und dann eine DescribeUserAPIAnfrage stellen, wie im vorherigen Beispiel gezeigt. Das folgende Beispiel zeigt, wie Sie eine userId aus dem Identity Store für einen bestimmten Benutzernamen abrufen können. Sie können den region Parameter weglassen, wenn sich Ihre IAM Identity Center-Instanz in der Standardregion mit dem CLI befindet.

aws identitystore get-user-id \ --identity-store d-9876543210 \ --alternate-identifier '{ "UniqueAttribute": { "AttributePath": "username", "AttributeValue": "anyuser@example.com" } }' \ --region your-region-id

In ähnlicher Weise können Sie denselben Mechanismus verwenden, wenn Sie den externalId kennen. Aktualisieren Sie den Attributpfad im vorherigen Beispiel mit dem externalId Wert und den Attributwert mit dem spezifischen externalId Wert, nach dem Sie suchen.

Den Secure Identifier (SID) eines Benutzers in Microsoft Active Directory (AD) anzeigen

In bestimmten Fällen sendet IAM Identity Center die principalId CloudTrail Ereignisse eines Benutzers SID aus, z. B. solche, die das Portal AWS aufrufen und OIDC APIs senden. Diese Fälle werden schrittweise eingestellt. Wir empfehlen, dass Ihre Workflows das AD-Attribut verwendenobjectguid, wenn Sie eine eindeutige Benutzer-ID von AD benötigen. Sie finden diesen Wert im externalId Attribut im IAM Identity Center-Verzeichnis. Wenn Ihre Workflows jedoch die Verwendung von erfordernSID, rufen Sie den Wert aus AD ab, da er nicht über IAM Identity Center verfügbar istAPIs.

Korrelierung von Benutzern zwischen IAM Identity Center und externen Verzeichnissenerläutert, wie Sie die username Felder externalId und verwenden können, um einen IAM Identity Center-Benutzer mit einem passenden Benutzer in einem externen Verzeichnis zu korrelieren. Standardmäßig ist IAM Identity Center externalId dem objectguid Attribut in AD zugeordnet, und diese Zuordnung ist behoben. IAM Identity Center bietet Administratoren die Flexibilität, eine username andere Zuordnung als die Standardzuweisung userprincipalname in AD vorzunehmen.

Sie können diese Zuordnungen in der IAM Identity Center-Konsole anzeigen. Navigieren Sie in den Einstellungen zur Registerkarte „Identitätsquelle“ und wählen Sie im Menü „Aktionen“ die Option Synchronisierung verwalten aus. Wählen Sie im Bereich „Synchronisation verwalten“ die Schaltfläche „Attributzuordnungen anzeigen“.

Sie können zwar jede eindeutige AD-Benutzerkennung verwenden, die in IAM Identity Center verfügbar ist, um nach einem Benutzer in AD zu suchen, wir empfehlen jedoch, die objectguid in Ihren Abfragen zu verwenden, da es sich um eine unveränderliche Kennung handelt. Das folgende Beispiel zeigt, wie Microsoft AD mit Powershell abgefragt wird, um einen Benutzer mit dem objectguid Benutzerwert von 16809ecc-7225-4c20-ad98-30094aefdbca abzurufen. Eine erfolgreiche Antwort auf diese Abfrage beinhaltet den des BenutzersSID.

Install-WindowsFeature -Name RSAT-AD-PowerShell Get-ADUser ` -Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} ` -Properties *
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.