Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Información de Amazon Cognito en CloudTrail
CloudTrail se activa al crear su. Cuenta de AWSCuando se produce una actividad de eventos admitida en Amazon Cognito, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Puede ver, buscar y descargar los eventos recientes en su AWS cuenta. Para obtener más información, consulta Cómo ver eventos con el historial de CloudTrail eventos.
Para obtener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de Amazon Cognito, cree una ruta. Un CloudTrail rastro envía los archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte:
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:
-
Si la solicitud se realizó con credenciales de IAM usuario o raíz.
-
Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
-
Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el CloudTrail userIdentity elemento.
Datos confidenciales en AWS CloudTrail
Dado que los grupos de usuarios y los grupos de identidades procesan los datos de los usuarios, Amazon Cognito oculta algunos campos privados de sus CloudTrail eventos con el valor. HIDDEN_FOR_SECURITY_REASONS
Para ver ejemplos de campos que Amazon Cognito no rellena para los eventos, consulte Explicación de los eventos de inicio de sesión de Amazon Cognito. Amazon Cognito solo oculta algunos campos que suelen contener información de usuario, como contraseñas y tokens. Amazon Cognito no detecta ni oculta automáticamente la información de identificación personal que usted rellena en campos no privados de sus solicitudes. API
Grupos de usuarios de Amazon Cognito
Amazon Cognito admite el registro de todas las acciones que aparecen en la página de acciones del grupo de usuarios como eventos en los archivos de CloudTrail registro. Amazon Cognito registra los eventos del grupo de usuarios CloudTrail como eventos de administración.
El eventType
campo de una CloudTrail entrada de grupos de usuarios de Amazon Cognito indica si la aplicación ha realizado la solicitud a los API grupos de usuarios de Amazon Cognito o a un punto final que proporciona recursos para OpenID ConnectSAML, 2.0 o la interfaz de usuario alojada. APIlas solicitudes tienen un eventType
de AwsApiCall
y las solicitudes de punto final tienen un de. eventType
AwsServiceEvent
Amazon Cognito registra las siguientes solicitudes de interfaz de usuario alojada en su interfaz de usuario alojada como eventos en. CloudTrail
Operaciones de interfaz de usuario alojadas en CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Operación | Descripción | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET , CognitoAuthentication |
Un usuario ve o envía credenciales a su Punto de conexión Login. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET , Beta_Authorize_GET |
Un usuario ve su Autorizar punto de conexión. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET , OAuth2Response_POST |
Un usuario envía un token de proveedor de identidad a su punto de conexión /oauth2/idpresponse . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST , Beta_SAML2Response_POST |
Un usuario envía una afirmación de SAML IdP a su punto final. /saml2/idpresponse |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
Un usuario introduce un nombre de usuario en su Punto de conexión Login y coincide con un Identificador de proveedor de identidad. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST , Beta_Token_POST |
Un usuario envía un código de autorización a su Punto de conexión de token. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET , Signup_POST |
Un usuario envía la información de registro a su punto de conexión /signup . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET , Confirm_POST |
Un usuario envía un código de confirmación en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
Un usuario envía una solicitud para volver a enviar un código de confirmación en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET , ForgotPassword_POST |
Un usuario envía una solicitud para restablecer su contraseña a su punto de conexión /forgotPassword . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET ,
ConfirmForgotPassword_POST |
Un usuario envía un código a su punto de conexión /confirmForgotPassword que confirma su solicitud de ForgotPassword . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET , ResetPassword_POST |
Un usuario envía una nueva contraseña en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET , Mfa_POST |
Un usuario envía un código de autenticación multifactorial (MFA) en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET , MfaOption_POST |
El usuario elige su método preferido MFA en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET , MfaRegister_POST |
Un usuario envía un código de autenticación multifactorial (MFA) en la interfaz de usuario alojada al registrar el. MFA | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
Un usuario cierra sesión en su punto de conexión /logout . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
Un usuario cierra sesión en su punto de conexión /saml2/logout . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
Un usuario ve una página de error en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET , UserInfo_POST |
Un usuario o proveedor de identidad intercambia información con su Punto de conexión de UserInfo. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
Un usuario envía una confirmación basada en un enlace que Amazon Cognito envió en un mensaje de correo electrónico. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
Un usuario envía comentarios a Amazon Cognito sobre un evento de características de seguridad avanzadas. |
nota
Amazon Cognito registra las solicitudes específicas de un usuario, UserSub
pero no UserName
en los CloudTrail registros. Para encontrar un usuario para un determinado número ListUsers
API, llame UserSub
al y utilice un filtro para el sub.
Grupos de identidades de Amazon Cognito
Eventos de datos
Amazon Cognito registra los siguientes eventos de Amazon Cognito Identity como eventos CloudTrail de datos. Los eventos de datos son API operaciones del plano de datos de gran volumen que CloudTrail no se registran de forma predeterminada. Se aplican cargos adicionales a los eventos de datos.
Para generar CloudTrail registros para estas API operaciones, debe activar los eventos de datos en su ruta y elegir selectores de eventos para los grupos de identidades de Cognito. Para obtener más información, consulte Registro de eventos de datos para registros de seguimiento en la Guía del usuario de AWS CloudTrail .
También puede añadir selectores de eventos de grupos de identidades a su ruta con el siguiente comando. CLI
aws cloudtrail put-event-selectors --trail-name
<trail name>
--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
Eventos de administración
Amazon Cognito registra el resto de las operaciones de los API grupos de identidades de Amazon Cognito como eventos de administración. CloudTrail registra las API operaciones de los eventos de administración de forma predeterminada.
Para obtener una lista de las API operaciones de los grupos de identidades de Amazon Cognito en las que Amazon Cognito inicia sesión CloudTrail, consulte la referencia de grupos de identidades de Amazon Cognito. API
Amazon Cognito Sync
Amazon Cognito registra todas las operaciones de Amazon Cognito API Sync como eventos de administración. Para obtener una lista de las API operaciones de Amazon Cognito Sync en las que Amazon Cognito inicia sesión CloudTrail, consulte la referencia de Amazon Cognito Sync. API