Identificación del usuario y la sesión en los eventos iniciados por los usuarios del IAM Identity Center CloudTrail Correlacionar usuarios Visualización de usuarios Visualización del SID de un usuario

CloudTrail casos de uso del IAM Identity Center

Los CloudTrail eventos que emite el Centro de Identidad de IAM pueden ser valiosos para una variedad de casos de uso. Las organizaciones pueden usar estos registros de eventos para monitorear y auditar el acceso de los usuarios y la actividad en su AWS entorno. Esto puede ayudar a los casos de uso relacionados con el cumplimiento, ya que los registros recopilan detalles sobre quién accede a qué recursos y cuándo. También puedes usar los CloudTrail datos para investigar incidentes, lo que permite a los equipos analizar las acciones de los usuarios y rastrear los comportamientos sospechosos. Además, el historial de eventos puede respaldar las iniciativas de solución de problemas, ya que proporciona visibilidad de los cambios realizados en los permisos y las configuraciones de los usuarios a lo largo del tiempo.

En las siguientes secciones se describen los casos de uso fundamentales que sirven de base a sus flujos de trabajo, como la auditoría, la investigación de incidentes y la solución de problemas.

Identificación del usuario y la sesión en los eventos iniciados por los usuarios del IAM Identity Center CloudTrail

El Centro de Identidad de IAM emite dos CloudTrail campos que le permiten identificar al usuario del Centro de Identidad de IAM detrás de los CloudTrail eventos, como iniciar sesión en el Centro de Identidad de IAM o usar el portal de AWS acceso AWS CLI, incluida la administración de los dispositivos de MFA:

userId— El identificador de usuario único e inmutable del almacén de identidades de una instancia del IAM Identity Center.
identityStoreArn— El nombre de recurso de Amazon (ARN) del almacén de identidades que contiene al usuario.

Los identityStoreArn campos userID y se muestran en el onBehalfOf elemento anidado dentro del userIdentityelemento, como se muestra en el siguiente ejemplo. En este ejemplo, se muestran estos dos campos en un evento en el que el userIdentity tipo es "IdentityCenterUser». También puede incluir estos campos en los eventos de los usuarios autenticados del IAM Identity Center en los que el userIdentity tipo sea "»Unknown. Sus flujos de trabajo deben aceptar ambos valores de tipo.


"userIdentity":{
  "type":"IdentityCenterUser",
  "accountId":"111122223333",
  "onBehalfOf": {
    "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
    "identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
    },
    "credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7"
  }

nota

Le recomendamos que utilice userId y identityStoreArn para identificar al usuario responsable de los CloudTrail eventos del IAM Identity Center. Evite utilizar los campos userName o principalId debajo del userIdentity elemento cuando realice un seguimiento de las acciones de un usuario del Centro de Identidad de IAM que inicie sesión y utilice el portal de AWS acceso. Si sus flujos de trabajo, como la auditoría o la respuesta a incidentes, dependen de tener acceso alusername, tiene dos opciones:

Recupere el nombre de usuario del directorio del Centro de Identidad de IAM como se explica enEl CloudTrail nombre de usuario en los eventos de inicio de sesión.
Obtenga el UserName que el Centro de Identidad de IAM emite en el additionalEventData elemento Iniciar sesión. Esta opción no requiere acceso al directorio del Centro de identidades de IAM. Para obtener más información, consulte El CloudTrail nombre de usuario en los eventos de inicio de sesión.

Para recuperar los detalles de un usuario, incluido el username campo, consulte el almacén de identidades con el ID de usuario y el ID del almacén de identidades como parámetros. Puede realizar esta acción mediante la solicitud de DescribeUserAPI o mediante la CLI. El siguiente es un ejemplo de comando CLI. Puede omitir el region parámetro si la instancia del centro de identidad de IAM se encuentra en la región predeterminada de la CLI.


aws identitystore describe-user \
--identity-store-id  d-1234567890 \
--user-id  544894e8-80c1-707f-60e3-3ba6510dfac1 \
--region your-region-id

Para determinar el valor del identificador del almacén de identidades para el comando CLI del ejemplo anterior, puede extraer el identificador del almacén de identidades del identityStoreArn valor. En el ARN de ejemploarn:aws:identitystore::111122223333:identitystore/d-1234567890, el ID del almacén de identidades es. d-1234567890 Como alternativa, puede localizar el ID del almacén de identidades accediendo a la pestaña Identity Store de la sección Configuración de la consola del IAM Identity Center.

Si va a automatizar la búsqueda de usuarios en el directorio del Centro de Identidad de IAM, le recomendamos que calcule la frecuencia de las búsquedas de usuarios y que tenga en cuenta el límite máximo del Centro de Identidad de IAM en la API de Identity Store. El almacenamiento en caché de los atributos de usuario recuperados puede ayudarle a mantenerse dentro del límite máximo.

El credentialId valor se establece en el ID de la sesión del usuario del Centro de Identidad de IAM utilizada para solicitar la acción. Puede utilizar este valor para identificar CloudTrail los eventos iniciados dentro de la misma sesión de usuario autenticada del IAM Identity Center, excepto los eventos de inicio de sesión.

nota

El AuthWorkflowIDcampo emitido en los eventos de inicio de sesión permite rastrear todos los CloudTrail eventos asociados a una secuencia de inicio de sesión antes del comienzo de una sesión de usuario del IAM Identity Center.

Correlacionar los usuarios entre el Centro de Identidad de IAM y los directorios externos

El Centro de identidades de IAM proporciona dos atributos de usuario que puede utilizar para correlacionar un usuario de su directorio con el mismo usuario de un directorio externo (por ejemplo, Microsoft Active Directory y Okta Universal Directory).

externalId— El identificador externo de un usuario del Centro de Identidad de IAM. Se recomienda asignar este identificador a un identificador de usuario inmutable en el directorio externo. Tenga en cuenta que el Centro de identidad de IAM no emite este valor en. CloudTrail
username— Un valor proporcionado por el cliente con el que los usuarios suelen iniciar sesión. El valor puede cambiar (por ejemplo, con una actualización de SCIM). Tenga en cuenta que cuando la fuente de identidad es AWS Directory Service, el nombre de usuario que emite IAM Identity Center CloudTrail coincide con el nombre de usuario que introduce para autenticarse. No es necesario que el nombre de usuario coincida exactamente con el nombre de usuario del directorio del Centro de identidades de IAM.

Si tiene acceso a los CloudTrail eventos pero no al directorio del Centro de Identidad de IAM, puede utilizar el nombre de usuario que aparece debajo del additionalEventData elemento al iniciar sesión. Para obtener más información sobre el nombre de usuario enadditionalEventData, consulte. El CloudTrail nombre de usuario en los eventos de inicio de sesión

La asignación de estos dos atributos de usuario a los atributos de usuario correspondientes en un directorio externo se define en el Centro de identidades de IAM cuando la fuente de identidad es la AWS Directory Service. Para obtener más información, consulte. Asignaciones de atributos entre el centro de identidad de IAM y el directorio de proveedores de identidad externos IdPs Externos que proporcionan a los usuarios SCIM su propio mapeo. Incluso si utiliza el directorio del Centro de Identidad de IAM como fuente de identidad, puede utilizar el externalId atributo para hacer una referencia cruzada de los principios de seguridad con su directorio externo.

En la siguiente sección se explica cómo buscar a un usuario del Centro de Identidad de IAM teniendo en cuenta el nombre y del usuario. username externalId

Visualización de un usuario del Centro de Identidad de IAM por nombre de usuario e ID externo

Para recuperar los atributos de usuario del directorio del Centro de Identidad de IAM para un nombre de usuario conocido, solicite primero el correspondiente userId mediante la solicitud de GetUserIdAPI y, a continuación, emita una solicitud de DescribeUserAPI, como se muestra en el ejemplo anterior. En el siguiente ejemplo, se muestra cómo se puede recuperar un nombre userId de usuario específico del almacén de identidades. Puede omitir el region parámetro si su instancia del centro de identidad de IAM se encuentra en la región predeterminada con la CLI.


aws identitystore get-user-id \
    --identity-store d-9876543210 \
    --alternate-identifier '{
      "UniqueAttribute": {
      "AttributePath": "username",
      "AttributeValue": "anyuser@example.com"
        }
          }' \
    --region your-region-id

Del mismo modo, puede utilizar el mismo mecanismo si conoce el. externalId Actualiza la ruta del atributo del ejemplo anterior con el externalId valor y el valor del atributo con la información específica externalId que estás buscando.

Visualización del identificador seguro (SID) de un usuario en Microsoft Active Directory (AD) y ExternalID

En algunos casos, el IAM Identity Center emite el SID de un usuario en el principalId campo de los CloudTrail eventos, como los que emiten el portal de AWS acceso y el APIs OIDC. Estos casos se están eliminando gradualmente. Recomendamos que sus flujos de trabajo utilicen el atributo AD objectguid cuando necesite un identificador de usuario único de AD. Puede encontrar este valor en el externalId atributo del directorio del Centro de identidad de IAM. Sin embargo, si sus flujos de trabajo requieren el uso de SID, recupere el valor de AD, ya que no está disponible en el Centro de identidades de IAM. APIs

Correlacionar los usuarios entre el Centro de Identidad de IAM y los directorios externosexplica cómo se pueden utilizar los username campos externalId y para correlacionar un usuario del Centro de Identidad de IAM con un usuario coincidente en un directorio externo. De forma predeterminada, el Centro de identidad de IAM externalId se asigna al objectguid atributo de AD y esta asignación es fija. El centro de identidad de IAM ofrece a los administradores la flexibilidad de mapear de username forma diferente a la que se asigna por defecto userprincipalname en AD.

Puede ver estas asignaciones en la consola de IAM Identity Center. Vaya a la pestaña Fuente de identidad de la configuración y seleccione Administrar la sincronización en el menú Acciones. En la sección Administrar la sincronización, selecciona el botón Ver asignaciones de atributos.

Si bien puedes usar cualquier identificador de usuario único de AD disponible en el Centro de Identidad de IAM para buscar un usuario en AD, te recomendamos que lo utilices objectguid en tus consultas, ya que es un identificador inmutable. En el siguiente ejemplo se muestra cómo consultar Microsoft AD con Powershell para recuperar un usuario mediante el objectguid valor del usuario de16809ecc-7225-4c20-ad98-30094aefdbca. Una respuesta correcta a esta consulta incluye el SID del usuario.


Install-WindowsFeature -Name  RSAT-AD-PowerShell
 
  Get-ADUser `
  -Filter {objectGUID -eq  [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} `
  -Properties *

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registrar las llamadas a la API de IAM Identity Center con AWS CloudTrail

La información del centro de identidad de IAM se encuentra en CloudTrail