Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Inicio de sesión en Amazon Cognito AWS CloudTrail
Amazon Cognito está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Amazon Cognito. CloudTrail captura un subconjunto de llamadas a la API de Amazon Cognito como eventos, incluidas las llamadas desde la consola de Amazon Cognito y las llamadas en código a las operaciones de la API de Amazon Cognito. Si crea una ruta, puede optar por enviar CloudTrail los eventos a un bucket de Amazon S3, incluidos los eventos de Amazon Cognito. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial** de eventos. Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Amazon Cognito, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, incluido cómo configurarlo y activarlo, consulte la [Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
También puedes crear CloudWatch alarmas de Amazon para CloudTrail eventos específicos. Por ejemplo, puede configurar CloudWatch para que active una alarma si se cambia la configuración de un grupo de identidades. Para obtener más información, consulte [Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html).
**Topics**
+ [Información que Amazon Cognito envía a CloudTrail](#amazon-cognito-info-in-cloudtrail)
+ [Análisis de CloudTrail eventos de Amazon Cognito con Amazon Logs Insights CloudWatch](#analyzingcteventscwinsight)
+ [Ejemplo de evento de Amazon Cognito](understanding-amazon-cognito-entries.md)
## Información que Amazon Cognito envía a CloudTrail
CloudTrail se activa al crear su. Cuenta de AWS**Cuando se produce una actividad de eventos admitida en Amazon Cognito, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos.** Puede ver, buscar y descargar los eventos recientes en su AWS cuenta. Para obtener más información, consulta Cómo [ver eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para obtener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de Amazon Cognito, cree una ruta. Un CloudTrail rastro envía los archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte lo siguiente:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servicios e integraciones compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-list)
+ [Configurar las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el [elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
**Datos confidenciales en AWS CloudTrail**
Dado que los grupos de usuarios y los grupos de identidades procesan los datos de los usuarios, Amazon Cognito oculta algunos campos privados de sus CloudTrail eventos con el valor. `HIDDEN_DUE_TO_SECURITY_REASONS` Para ver ejemplos de campos que Amazon Cognito no rellena para los eventos, consulte [Ejemplo de evento de Amazon Cognito](understanding-amazon-cognito-entries.md). Amazon Cognito solo oculta algunos campos que suelen contener información de usuario, como contraseñas y tokens. Amazon Cognito no detecta ni oculta automáticamente la información de identificación personal que usted rellena en campos no privados en las solicitudes de la API.
### Eventos de grupos de usuarios
Amazon Cognito admite el registro de todas las acciones que aparecen en la página de acciones del [grupo de usuarios](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_Operations.html) como eventos en los archivos de CloudTrail registro. Amazon Cognito registra los eventos del grupo de usuarios CloudTrail como eventos de *administración*.
El `eventType` campo de una CloudTrail entrada de grupos de usuarios de Amazon Cognito indica si la aplicación ha realizado la solicitud a la API de [grupos de usuarios de Amazon Cognito o a](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html) [un punto final que proporciona recursos para OpenID Connect, SAML](cognito-userpools-server-contract-reference.md) 2.0 o páginas de inicio de sesión gestionadas. Las solicitudes de la API tienen un `eventType` de `AwsApiCall` y las solicitudes de punto de conexión tienen un `eventType` de `AwsServiceEvent`.
Amazon Cognito registra las siguientes solicitudes en sus servicios de inicio de sesión gestionado como eventos en. CloudTrail
------
#### [ Hosted UI (classic) events ]
**Eventos de interfaz de usuario (clásicos) alojados en CloudTrail**
| Operación | Description (Descripción) |
| --- | --- |
| Login\$1GET, CognitoAuthentication | Un usuario ve o envía credenciales a su [Punto de conexión Login](login-endpoint.md). |
| OAuth2\$1Authorize\$1GET, Beta\$1Authorize\$1GET | Un usuario ve su [Autorizar punto de conexión](authorization-endpoint.md). |
| OAuth2Response\$1GET, OAuth2Response\$1POST | Un usuario envía un token de proveedor de identidad a su punto de conexión /oauth2/idpresponse. |
| SAML2Response\$1POST, Beta\$1SAML2Response\$1POST | Un usuario envía una afirmación de SAML de proveedor de identidad a su punto de conexión /saml2/idpresponse. |
| Login\$1OIDC\$1SAML\$1POST | Un usuario introduce un nombre de usuario en su [Punto de conexión Login](login-endpoint.md) y coincide con un [Identificador de proveedor de identidad](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-integrating-3rd-party-saml-providers.html). |
| Token\$1POST, Beta\$1Token\$1POST | Un usuario envía un código de autorización a su [Punto de conexión de token](token-endpoint.md). |
| Signup\$1GET, Signup\$1POST | Un usuario envía la información de registro a su punto de conexión /signup. |
| Confirm\$1GET, Confirm\$1POST | Un usuario envía un código de confirmación en la interfaz de usuario alojada. |
| ResendCode\$1POST | Un usuario envía una solicitud para volver a enviar un código de confirmación en la interfaz de usuario alojada. |
| ForgotPassword\$1GET, ForgotPassword\$1POST | Un usuario envía una solicitud para restablecer su contraseña a su punto de conexión /forgotPassword. |
| ConfirmForgotPassword\$1GET, ConfirmForgotPassword\$1POST | Un usuario envía un código a su punto de conexión /confirmForgotPassword que confirma su solicitud de ForgotPassword. |
| ResetPassword\$1GET, ResetPassword\$1POST | Un usuario envía una nueva contraseña en la interfaz de usuario alojada. |
| Mfa\$1GET, Mfa\$1POST | Un usuario envía un código de autenticación multifactor (MFA) en la IU alojada. |
| MfaOption\$1GET, MfaOption\$1POST | El usuario elige su método preferido para la MFA en la interfaz de usuario alojada. |
| MfaRegister\$1GET, MfaRegister\$1POST | Un usuario envía un código de autenticación multifactor (MFA) en la IU alojada al registrar la MFA. |
| Logout | Un usuario cierra sesión en su punto de conexión /logout. |
| SAML2Logout\$1POST | Un usuario cierra sesión en su punto de conexión /saml2/logout. |
| Error\$1GET | Un usuario ve una página de error en la interfaz de usuario alojada. |
| UserInfo\$1GET, UserInfo\$1POST | Un usuario o proveedor de identidad intercambia información con su [El punto de conexión userInfo](userinfo-endpoint.md). |
| Confirm\$1With\$1Link\$1GET | Un usuario envía una confirmación basada en un enlace que Amazon Cognito envió en un mensaje de correo electrónico. |
| Event\$1Feedback\$1GET | Un usuario envía comentarios a Amazon Cognito sobre un evento de [protección contra amenazas](cognito-user-pool-settings-threat-protection.md). |
------
#### [ Managed login events ]
**Eventos de inicio de sesión gestionados en CloudTrail**
| Operación | Description (Descripción) |
| --- | --- |
| login\$1POST | Un usuario envía credenciales a su [Punto de conexión Login](login-endpoint.md). |
| login\$1continue\$1POST | Un usuario que ya ha iniciado sesión una vez elige volver a iniciar sesión. |
| forgotPassword\$1POST | Un usuario restablece su contraseña. |
| selectChallenge\$1POST | Un usuario responde a un desafío de autenticación después de enviar su nombre de usuario o sus credenciales. |
| confirmUser\$1GET | Un usuario abre el enlace en un [mensaje de correo electrónico de confirmación o verificación](signing-up-users-in-your-app.md). |
| mfa\$1back\$1POST | Un usuario selecciona el botón Volver después de una petición de MFA. |
| mfa\$1options\$1POST | Un usuario selecciona una opción MFA. |
| mfa\$1phone\$1register\$1POST | Un usuario envía un número de teléfono para registrarlo como factor de MFA. Esta operación hace que Amazon Cognito envíe un código MFA a su número de teléfono. |
| mfa\$1phone\$1verify\$1POST | Un usuario envía un código MFA enviado a su número de teléfono. |
| mfa\$1phone\$1resendCode\$1POST | Un usuario envía una solicitud para volver a enviar un código MFA a su número de teléfono. |
| mfa\$1totp\$1POST | Un usuario envía un código MFA TOTP. |
| signup\$1POST | Un usuario envía la información a su página de inicio de sesión administrado /signup. |
| signup\$1confirm\$1POST | Un usuario envía un código de confirmación a través de un correo electrónico o un mensaje SMS. |
| verifyCode\$1POST | Un usuario envía una contraseña de un solo uso (OTP) para la autenticación sin contraseña. |
| passkeys\$1add\$1POST | Un usuario envía una solicitud para registrar una nueva credencial de clave de acceso. |
| passkeys\$1add\$1GET | Un usuario navega a la página en la que puede registrar una clave de acceso. |
| login\$1passkey\$1POST | Un usuario inicia sesión con una clave de acceso. |
------
**nota**
Amazon Cognito registra`UserSub`, pero no `UserName` en CloudTrail los registros, las solicitudes específicas de un usuario. Si desea buscar un usuario para un `UserSub` determinado, llame a la API de `ListUsers` y utilice un filtro para sub.
### Eventos de grupos de identidades
**Eventos de datos**
*Amazon Cognito registra los siguientes eventos de Amazon Cognito Identity como eventos CloudTrail de datos.* [Los eventos de datos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) son operaciones de API del plano de datos de gran volumen que CloudTrail no se registran de forma predeterminada. Se aplican cargos adicionales a los eventos de datos.
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UnlinkIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UnlinkIdentity.html)
Para generar CloudTrail registros para estas operaciones de API, debe activar los eventos de datos en su seguimiento y elegir selectores de eventos **para los grupos de identidades de Cognito**. Para obtener más información, consulte [Registro de eventos de datos para registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) en la *Guía del usuario de AWS CloudTrail *.
También puede añadir selectores de eventos de grupos de identidades a su registro de seguimiento con el siguiente comando de la CLI.
```
aws cloudtrail put-event-selectors --trail-name --advanced-event-selectors \
"{\
\"Name\": \"Cognito Selector\",\
\"FieldSelectors\": [\
{\
\"Field\": \"eventCategory\",\
\"Equals\": [\
\"Data\"\
]\
},\
{\
\"Field\": \"resources.type\",\
\"Equals\": [\
\"AWS::Cognito::IdentityPool\"\
]\
}\
]\
}"
```
**Eventos de administración**
*Amazon Cognito registra el resto de las operaciones de la API de los grupos de identidades de Amazon Cognito como eventos de administración.* CloudTrail registra las operaciones de la API de eventos de administración de forma predeterminada.
Para obtener una lista de las operaciones de la API de grupos de identidades de Amazon Cognito en las que Amazon Cognito inicia sesión, consulte la referencia de CloudTrail la API de grupos de identidades de [Amazon Cognito](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_Operations.html).
**Amazon Cognito Sync**
Amazon Cognito registra todas las operaciones de la API de Amazon Cognito Sync como eventos de administración. Para obtener una lista de las operaciones de la API Amazon Cognito Sync en las que Amazon Cognito inicia sesión, consulte la referencia de CloudTrail la API Amazon [Cognito](https://docs.aws.amazon.com/cognitosync/latest/APIReference/API_Operations.html) Sync.
## Análisis de CloudTrail eventos de Amazon Cognito con Amazon Logs Insights CloudWatch
Puede buscar y analizar sus CloudTrail eventos de Amazon Cognito con Amazon CloudWatch Logs Insights. Cuando configura su ruta para enviar eventos a CloudWatch Logs, CloudTrail envía solo los eventos que coinciden con la configuración de su ruta.
Para consultar o investigar sus CloudTrail eventos de Amazon Cognito, en la CloudTrail consola, asegúrese de seleccionar la opción **Gestión de eventos** en la configuración de la ruta para poder supervisar las operaciones de administración que se realizan en sus AWS recursos. También puede seleccionar la opción **Eventos de Insights** en la configuración de seguimiento si desea identificar errores, actividades inusuales o comportamiento inusual del usuario en la cuenta.
### Consultas de ejemplo de Amazon Cognito
Puedes usar las siguientes consultas en la CloudWatch consola de Amazon.
**Consultas generales**
Buscar los 25 eventos de registro agregados más recientes.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"
```
Obtenga una lista de los 25 eventos de registro agregados recientemente que incluyen excepciones.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
```
**Consultas de excepción y error**
Busque los 25 eventos de registro agregados más recientes con el código de error `NotAuthorizedException` junto con el grupo de usuarios de Amazon Cognito`sub`.
```
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
```
Busque el número de registros con la `sourceIPAddress` y el `eventName` correspondiente.
```
filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventName
```
Busque las 25 direcciones IP principales que desencadenaron un error de `NotAuthorizedException`.
```
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25
```
Busque las 25 direcciones IP principales que llamaron a la API de `ForgotPassword`.
```
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25
```
# Ejemplo de evento de Amazon Cognito
Amazon Cognito registra información AWS CloudTrail sobre la actividad de autenticación de usuarios y la actividad de gestión administrativa. Esto se aplica tanto a los grupos de usuarios como a los grupos de identidades. Por ejemplo, puede ver los eventos `GetId` y `UpdateIdentityPool` del mismo registro o los eventos `UpdateAuthEventFeedback` y `SetRiskConfiguration`. También verá los registros de grupos de usuarios de la actividad de la interfaz de usuario alojada que no se correspondan con las operaciones de la API de grupos de usuarios. En esta sección se muestran algunos ejemplos de registros que puede ver. Para comprender el esquema de CloudTrail eventos de cualquier operación, genere una solicitud para esa operación y revise los eventos que crea en su registro.
Un rastro puede entregar eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.
**Topics**
+ [Ejemplos de CloudTrail eventos para una suscripción a una interfaz de usuario alojada](#cognito-cloudtrail-events-federated-sign-up)
+ [Ejemplo de CloudTrail evento para una solicitud de SAML](#cognito-cloudtrail-event-saml-post)
+ [Ejemplos de CloudTrail eventos para solicitudes al punto final del token](#cognito-cloudtrail-events-token-endpoint-requests)
+ [Ejemplo de CloudTrail evento para CreateIdentityPool](#cognito-cloudtrail-events-createidentitypool)
+ [Ejemplo de CloudTrail evento para GetCredentialsForIdentity](#cognito-cloudtrail-events-getcredentialsforidentity)
+ [Ejemplo de CloudTrail evento para GetId](#cognito-cloudtrail-events-getid)
+ [Ejemplo de CloudTrail evento para GetOpenIdToken](#cognito-cloudtrail-events-getopenidtoken)
+ [Ejemplo de CloudTrail evento para GetOpenIdTokenForDeveloperIdentity](#cognito-cloudtrail-events-getopenidtokenfordeveloperidentity)
+ [Ejemplo de CloudTrail evento para UnlinkIdentity](#cognito-cloudtrail-events-unlinkidentity)
## Ejemplos de CloudTrail eventos para una suscripción a una interfaz de usuario alojada
Los siguientes CloudTrail eventos de ejemplo muestran la información que Amazon Cognito registra cuando un usuario se registra a través de la interfaz de usuario alojada.
Amazon Cognito registra el siguiente evento cuando un usuario nuevo navega a la página de inicio de sesión de la aplicación.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-04-06T05:38:12Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Login_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"errorCode": "",
"errorMessage": "",
"additionalEventData":
{
"responseParameters":
{
"status": 200.0
},
"requestParameters":
{
"redirect_uri":
[
"https://www.amazon.com"
],
"response_type":
[
"token"
],
"client_id":
[
"1example23456789"
]
}
},
"eventID": "382ae09a-151d-4116-8f2b-6ac0a804a38c",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito registra el siguiente evento cuando un usuario nuevo elige **Sign up** (Inscripción) en la página de inicio de sesión correspondiente a su aplicación.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:21:43Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Signup_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"response_type":
[
"code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "7a63e7c2-b057-4f3d-a171-9d9113264fff",
"eventID": "5e7b27a0-6870-4226-adb4-f86cd51ac5d8",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito registra el siguiente evento cuando un usuario nuevo elige un nombre de usuario, ingresa una dirección de correo electrónico y elige una contraseña en la página de inicio de sesión de la aplicación. Amazon Cognito no registra la información de identificación sobre la identidad del usuario. CloudTrail
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:22:05Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Signup_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"password":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"requiredAttributes[email]":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"response_type":
[
"code"
],
"_csrf":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
],
"username":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "9ad58dd8-3517-4aa8-96a5-d17a01df9eb4",
"eventID": "c75eb7a5-eb8c-43d1-8331-f4412e756e69",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito registra el siguiente evento cuando un usuario nuevo accede a la página de confirmación de usuario en la interfaz de usuario alojada después de registrarse.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:22:06Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Confirm_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"response_type":
[
"code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "58a5b170-3127-45bb-88cc-3e652d779e0b",
"eventID": "7f87291a-6d50-409a-822f-e3a5ec7e60da",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito registra el siguiente evento cuando, en la página de confirmación de usuario de la interfaz de usuario alojada, un usuario introduce un código que Amazon Cognito le envió en un mensaje de correo electrónico.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:23:32Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Confirm_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"confirm":
[
""
],
"deliveryMedium":
[
"EMAIL"
],
"sub":
[
"704b1e47-34fe-40e9-8c41-504997494531"
],
"code":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"destination":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"response_type":
[
"code"
],
"_csrf":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"cognitoAsfData":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
],
"username":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "9764300a-ed35-4f87-8a0f-b18b3fe2b11e",
"eventID": "e24ac6e5-2f70-4c6e-ad4e-2f08a547bb36",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Ejemplo de CloudTrail evento para una solicitud de SAML
Amazon Cognito registra el siguiente evento cuando un usuario que se ha autenticado con su proveedor de identidad de SAML envía la afirmación de SAML a su punto de conexión `/saml2/idpresponse`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-06T00:50:57Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "SAML2Response_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"RelayState":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"SAMLResponse":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "4f6f15d1-c370-4a57-87f0-aac4817803f7",
"eventID": "9824b50f-d9d1-4fb8-a2c1-6aa78ca5902a",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "625647942648",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Ejemplos de CloudTrail eventos para solicitudes al punto final del token
En el ejemplo, se muestran eventos de las solicitudes a [Punto de conexión de token](token-endpoint.md).
Amazon Cognito registra el siguiente evento cuando un usuario que se ha autenticado y ha recibido un código de autorización envía el código a su punto de conexión `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T22:12:30Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"code":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"grant_type":
[
"authorization_code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "f257f752-cc14-4c52-ad5b-152a46915238",
"eventID": "0bd1586d-cd3e-4d7a-abaf-fd8bfc3912fd",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito registra el siguiente evento cuando el sistema backend envía una solicitud `client_credentials` de un token de acceso al punto de conexión `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T21:07:05Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"grant_type":
[
"client_credentials"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "4f871256-6825-488a-871b-c2d9f55caff2",
"eventID": "473e5cbc-a5b3-4578-9ad6-3dfdcb8a6d34",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito registra el siguiente evento cuando su aplicación cambia un token de actualización por un ID y un token de acceso nuevos con su punto de conexión `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T22:16:40Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"refresh_token":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"grant_type":
[
"refresh_token"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "2829f0c6-a3a9-4584-b046-11756dfe8a81",
"eventID": "12bd3464-59c7-44fa-b8ff-67e1cf092018",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Ejemplo de CloudTrail evento para CreateIdentityPool
El siguiente ejemplo muestra una entrada de registro de una solicitud de la acción `CreateIdentityPool`. La solicitud fue realizada por una usuaria de IAM llamada Alicia.
```
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "PRINCIPAL_ID",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "['EXAMPLE_KEY_ID']",
"userName": "Alice"
},
"eventTime": "2016-01-07T02:04:30Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "CreateIdentityPool",
"awsRegion": "us-east-1",
"sourceIPAddress": "127.0.0.1",
"userAgent": "USER_AGENT",
"requestParameters": {
"identityPoolName": "TestPool",
"allowUnauthenticatedIdentities": true,
"supportedLoginProviders": {
"graph.facebook.com": "000000000000000"
}
},
"responseElements": {
"identityPoolName": "TestPool",
"identityPoolId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"allowUnauthenticatedIdentities": true,
"supportedLoginProviders": {
"graph.facebook.com": "000000000000000"
}
},
"requestID": "15cc73a1-0780-460c-91e8-e12ef034e116",
"eventID": "f1d47f93-c708-495b-bff1-cb935a6064b2",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Ejemplo de CloudTrail evento para GetCredentialsForIdentity
El siguiente ejemplo muestra una entrada de registro de una solicitud de la acción `GetCredentialsForIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetCredentialsForIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
"expiration": "Jan 19, 2023 5:55:08 PM"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
"eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Ejemplo de CloudTrail evento para GetId
El siguiente ejemplo muestra una entrada de registro de una solicitud de la acción `GetId`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:05Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetId",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-id",
"requestParameters": {
"identityPoolId": "us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE",
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "dc28def9-07c8-460a-a8f3-3816229e6664",
"eventID": "c5c459d9-40ec-41fd-8f6b-57865d5a9975",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Ejemplo de CloudTrail evento para GetOpenIdToken
El siguiente ejemplo muestra una entrada de registro de una solicitud de la acción `GetOpenIdToken`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetOpenIdToken",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-open-id-token",
"requestParameters": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "a506ba18-10d7-4fdb-9548-a8187b2e38bb",
"eventID": "19ffc1a6-6ed8-4580-a4e1-3062c5ce6457",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Ejemplo de CloudTrail evento para GetOpenIdTokenForDeveloperIdentity
El siguiente ejemplo muestra una entrada de registro de una solicitud de la acción `GetOpenIdTokenForDeveloperIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA1EXAMPLE:johns-AssumedRoleSession",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/johns-AssumedRoleSession",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2023-01-19T16:53:14Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetOpenIdTokenForDeveloperIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "27.0.3.154",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-open-id-token-for-developer-identity",
"requestParameters": {
"tokenDuration": 900,
"identityPoolId": "us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE",
"logins": {
"JohnsDeveloperProvider": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "b807df87-57e7-4dd6-b90c-b06f46a61c21",
"eventID": "f26fed91-3340-4d70-91ae-cdf555547b76",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Ejemplo de CloudTrail evento para UnlinkIdentity
El siguiente ejemplo muestra una entrada de registro de una solicitud de la acción `UnlinkIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "UnlinkIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.unlink-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"loginsToRemove": ["cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa"]
},
"responseElements": null,
"requestID": "99c2c8e2-9c29-416f-bb17-b650a5cbada9",
"eventID": "d8e26126-202a-43c2-b458-3f225efaedc7",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```