Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Connexion à Amazon Cognito AWS CloudTrail
Amazon Cognito est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou un AWS service dans Amazon Cognito. CloudTrail capture un sous-ensemble d'appels d'API pour Amazon Cognito sous forme d'événements, y compris les appels depuis la console Amazon Cognito et les appels de code vers les opérations de l'API Amazon Cognito. Si vous créez un suivi, vous pouvez choisir de transférer des CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour Amazon Cognito. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Amazon Cognito, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.
Pour en savoir plus CloudTrail, notamment comment le configurer et l'activer, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Vous pouvez également créer des CloudWatch alarmes Amazon pour des CloudTrail événements spécifiques. Par exemple, vous pouvez configurer CloudWatch pour déclencher une alarme si la configuration d'un groupe d'identités a changé. Pour plus d'informations, voir [Création d' CloudWatch alarmes pour CloudTrail des événements : exemples](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html).
**Topics**
+ [Informations envoyées par Amazon Cognito à CloudTrail](#amazon-cognito-info-in-cloudtrail)
+ [Analyse des CloudTrail événements Amazon Cognito avec Amazon CloudWatch Logs Insights](#analyzingcteventscwinsight)
+ [Exemples d'événements Amazon Cognito](understanding-amazon-cognito-entries.md)
## Informations envoyées par Amazon Cognito à CloudTrail
CloudTrail est activé lorsque vous créez votre Compte AWS. **Lorsqu'une activité événementielle prise en charge se produit dans Amazon Cognito, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements.** Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements de votre AWS compte, y compris des événements relatifs à Amazon Cognito, créez un suivi. Un CloudTrail suivi fournit des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour en savoir plus, consultez :
+ [Présentation de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-list)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou IAM.
+ Si la demande a été effectuée avec des informations d’identification de sécurité temporaires pour un rôle ou un utilisateur fédéré.
+ Si la demande a été faite par un autre AWS service.
Pour de plus amples informations, veuillez consulter l'[élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
**Données confidentielles dans AWS CloudTrail**
Étant donné que les groupes d'utilisateurs et les groupes d'identités traitent les données utilisateur, Amazon Cognito masque certains champs privés de vos CloudTrail événements avec cette valeur. `HIDDEN_DUE_TO_SECURITY_REASONS` Pour des exemples de champs qu’Amazon Cognito ne renseigne pas pour les événements, consultez [Exemples d'événements Amazon Cognito](understanding-amazon-cognito-entries.md). Amazon Cognito masque uniquement certains champs qui contiennent généralement des informations utilisateur, tels que les mots de passe et les jetons. Amazon Cognito n’effectue aucune détection ni aucun masquage automatiques des informations d’identification personnelle que vous renseignez dans des champs non privés, dans vos demandes d’API.
### Événements relatifs au pool d'utilisateurs
Amazon Cognito prend en charge la journalisation de toutes les actions répertoriées sur la page des [actions du groupe d'utilisateurs](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_Operations.html) sous forme d'événements dans des fichiers CloudTrail journaux. Amazon Cognito enregistre les événements du groupe d'utilisateurs en CloudTrail tant qu'événements de *gestion*.
Le `eventType` champ d'une CloudTrail entrée relative aux groupes d'utilisateurs Amazon Cognito indique si votre application a envoyé la demande à l'API des [groupes d'utilisateurs Amazon Cognito](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html) ou à [un point de terminaison qui fournit des ressources pour OpenID Connect, SAML](cognito-userpools-server-contract-reference.md) 2.0 ou des pages de connexion gérées. Les demandes d’API ont un `eventType` de `AwsApiCall` et les demandes de point de terminaison ont un `eventType` de`AwsServiceEvent`.
Amazon Cognito enregistre les demandes suivantes dans vos services de connexion gérés sous forme d'événements. CloudTrail
------
#### [ Hosted UI (classic) events ]
**Événements d'interface utilisateur hébergés (classiques) dans CloudTrail**
| Opération | Description |
| --- | --- |
| Login\$1GET, CognitoAuthentication | Un utilisateur consulte ou soumet des informations d’identification à votre [Point de terminaison de connexion](login-endpoint.md). |
| OAuth2\$1Authorize\$1GET, Beta\$1Authorize\$1GET | Un utilisateur consulte votre [Point de terminaison d’autorisation](authorization-endpoint.md). |
| OAuth2Response\$1GET, OAuth2Response\$1POST | Un utilisateur soumet un jeton du fournisseur d’identité à votre point de terminaison /oauth2/idpresponse. |
| SAML2Response\$1POST, Beta\$1SAML2Response\$1POST | Un utilisateur soumet une assertion SAML du fournisseur d’identité à votre point de terminaison /saml2/idpresponse. |
| Login\$1OIDC\$1SAML\$1POST | Un utilisateur saisit un nom d’utilisateur dans votre [Point de terminaison de connexion](login-endpoint.md) et met en relation à un [Identifiant IdP](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-integrating-3rd-party-saml-providers.html). |
| Token\$1POST, Beta\$1Token\$1POST | Un utilisateur soumet un code d’autorisation à votre [Point de terminaison de jeton](token-endpoint.md). |
| Signup\$1GET, Signup\$1POST | Un utilisateur soumet des informations d’inscription à votre point de terminaison /signup. |
| Confirm\$1GET, Confirm\$1POST | Un utilisateur soumet un code de confirmation dans l’interface utilisateur hébergée. |
| ResendCode\$1POST | Un utilisateur envoie une demande pour renvoyer un code de confirmation dans l’interface utilisateur hébergée. |
| ForgotPassword\$1GET, ForgotPassword\$1POST | Un utilisateur envoie une demande pour réinitialiser son mot de passe à votre point de terminaison /forgotPassword. |
| ConfirmForgotPassword\$1GET, ConfirmForgotPassword\$1POST | Un utilisateur soumet un code à votre point de terminaison /confirmForgotPassword qui confirme sa demande ForgotPassword. |
| ResetPassword\$1GET, ResetPassword\$1POST | Un utilisateur soumet un nouveau mot de passe dans l’interface utilisateur hébergée. |
| Mfa\$1GET, Mfa\$1POST | Un utilisateur soumet un code d’authentification multifactorielle (MFA) dans l’interface utilisateur hébergée. |
| MfaOption\$1GET, MfaOption\$1POST | L’utilisateur choisit sa méthode préférée pour MFA dans l’interface utilisateur hébergée. |
| MfaRegister\$1GET, MfaRegister\$1POST | Un utilisateur soumet un code d’authentification multifactorielle (MFA) dans l’interface utilisateur hébergée lors de l’enregistrement de la MFA. |
| Logout | Un utilisateur se déconnecte sur votre point de terminaison /logout. |
| SAML2Logout\$1POST | Un utilisateur se déconnecte sur votre point de terminaison /saml2/logout. |
| Error\$1GET | Un utilisateur affiche une page d’erreur dans l’interface utilisateur hébergée. |
| UserInfo\$1GET, UserInfo\$1POST | Un utilisateur ou un fournisseur d’identité échange des informations avec votre [Point de terminaison UserInfo](userinfo-endpoint.md). |
| Confirm\$1With\$1Link\$1GET | Un utilisateur soumet une confirmation basée sur un lien envoyé par Amazon Cognito dans un message électronique. |
| Event\$1Feedback\$1GET | Un utilisateur envoie des commentaires à Amazon Cognito concernant un événement de [protection contre les menaces](cognito-user-pool-settings-threat-protection.md). |
------
#### [ Managed login events ]
**Événements de connexion gérés dans CloudTrail**
| Opération | Description |
| --- | --- |
| login\$1POST | Un utilisateur envoie des informations d'identification à votre[Point de terminaison de connexion](login-endpoint.md). |
| login\$1continue\$1POST | Un utilisateur qui s'est déjà connecté une fois choisit de se reconnecter. |
| forgotPassword\$1POST | Un utilisateur réinitialise son mot de passe. |
| selectChallenge\$1POST | Un utilisateur répond à un défi d'authentification après avoir soumis son nom d'utilisateur ou ses informations d'identification. |
| confirmUser\$1GET | Un utilisateur ouvre le lien dans un [e-mail de confirmation ou de vérification](signing-up-users-in-your-app.md). |
| mfa\$1back\$1POST | Un utilisateur clique sur le bouton Retour après avoir reçu une demande MFA. |
| mfa\$1options\$1POST | L'utilisateur sélectionne une option MFA. |
| mfa\$1phone\$1register\$1POST | Un utilisateur soumet un numéro de téléphone pour s'enregistrer en tant que facteur MFA. Cette opération oblige Amazon Cognito à envoyer un code MFA à son numéro de téléphone. |
| mfa\$1phone\$1verify\$1POST | Un utilisateur envoie un code MFA envoyé à son numéro de téléphone. |
| mfa\$1phone\$1resendCode\$1POST | Un utilisateur soumet une demande pour renvoyer un code MFA à son numéro de téléphone. |
| mfa\$1totp\$1POST | Un utilisateur soumet un code MFA TOTP. |
| signup\$1POST | Un utilisateur envoie des informations sur votre page de connexion /signup gérée. |
| signup\$1confirm\$1POST | Un utilisateur envoie un code de confirmation à partir d'un e-mail ou d'un SMS. |
| verifyCode\$1POST | Un utilisateur soumet un mot de passe à usage unique (OTP) pour une authentification sans mot de passe. |
| passkeys\$1add\$1POST | Un utilisateur soumet une demande d'enregistrement d'un nouveau code d'accès. |
| passkeys\$1add\$1GET | Un utilisateur accède à la page où il peut enregistrer une clé d'accès. |
| login\$1passkey\$1POST | Un utilisateur se connecte à l'aide d'un mot de passe. |
------
**Note**
Amazon Cognito enregistre les demandes spécifiques `UserName` à un utilisateur, `UserSub` mais pas dans les CloudTrail journaux. Vous pouvez trouver un utilisateur pour un `UserSub` donné en appelant l’API `ListUsers`, et en utilisant un filtre pour sub.
### Événements relatifs aux pools d'identités
**Événements de données**
*Amazon Cognito enregistre les événements Amazon Cognito Identity suivants en tant qu'événements CloudTrail de données.* Les [événements de données](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) sont des opérations d'API de plan de données à volume élevé qui CloudTrail ne sont pas enregistrées par défaut. Des frais supplémentaires s’appliquent pour les événements de données.
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UnlinkIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UnlinkIdentity.html)
Pour générer des CloudTrail journaux pour ces opérations d'API, vous devez activer les événements de données dans votre historique et choisir des sélecteurs d'événements pour les pools d'identités **Cognito**. Pour plus d’informations, veuillez consulter [Consignation d’événements de données pour les journaux d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) dans le *Guide de l’utilisateur AWS CloudTrail *.
Vous pouvez également ajouter des sélecteurs d’événements de groupes d’identités dans votre journal de suivi à l’aide de la commande CLI suivante.
```
aws cloudtrail put-event-selectors --trail-name --advanced-event-selectors \
"{\
\"Name\": \"Cognito Selector\",\
\"FieldSelectors\": [\
{\
\"Field\": \"eventCategory\",\
\"Equals\": [\
\"Data\"\
]\
},\
{\
\"Field\": \"resources.type\",\
\"Equals\": [\
\"AWS::Cognito::IdentityPool\"\
]\
}\
]\
}"
```
**Événements de gestion**
*Amazon Cognito enregistre le reste des opérations de l'API des groupes d'identités Amazon Cognito sous forme d'événements de gestion.* CloudTrail enregistre les opérations de l'API des événements de gestion par défaut.
Pour obtenir la liste des opérations d'API des groupes d'identités Amazon Cognito auxquelles Amazon Cognito se connecte CloudTrail, consultez le manuel de référence des API des groupes d'identités Amazon [Cognito](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_Operations.html).
**Amazon Cognito Sync**
Amazon Cognito consigne toutes les opérations d’API de synchronisation Amazon Cognito en tant qu’événements de gestion. Pour obtenir la liste des opérations de l'API Amazon Cognito Sync auxquelles Amazon Cognito se connecte CloudTrail, consultez le manuel Amazon [Cognito](https://docs.aws.amazon.com/cognitosync/latest/APIReference/API_Operations.html) Sync API Reference.
## Analyse des CloudTrail événements Amazon Cognito avec Amazon CloudWatch Logs Insights
Vous pouvez rechercher et analyser vos CloudTrail événements Amazon Cognito avec Amazon CloudWatch Logs Insights. Lorsque vous configurez votre parcours pour envoyer des événements à CloudWatch Logs, il CloudTrail envoie uniquement les événements correspondant à vos paramètres de suivi.
Pour interroger ou rechercher vos CloudTrail événements Amazon Cognito, dans la CloudTrail console, assurez-vous de sélectionner l'option **Gestion des événements** dans vos paramètres de suivi afin de pouvoir surveiller les opérations de gestion effectuées sur vos AWS ressources. Lorsque vous souhaitez identifier des erreurs, une activité inhabituelle ou un comportement inhabituel de l’utilisateur dans votre compte, vous pouvez éventuellement sélectionner l’option **Événements Insights** dans les paramètres de votre journal d’activité.
### Exemples de requêtes Amazon Cognito
Vous pouvez utiliser les requêtes suivantes dans la CloudWatch console Amazon.
**Requêtes générales**
Rechercher les 25 derniers événements ajoutés au journal.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"
```
Consultez la liste des 25 derniers événements de journal ajoutés qui incluent des exceptions.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
```
**Exception et requêtes d’erreur**
Recherchez les 25 derniers événements de journal ajoutés avec un code d’erreur `NotAuthorizedException` avec le groupe d’utilisateurs Amazon Cognito `sub`.
```
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
```
Recherchez le nombre d’enregistrements avec la `sourceIPAddress` et l’`eventName` correspondant.
```
filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventName
```
Recherchez les 25 premières adresses IP qui ont déclenché une erreur `NotAuthorizedException`.
```
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25
```
Recherchez les 25 premières adresses IP qui ont appelé l’API `ForgotPassword`.
```
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25
```
# Exemples d'événements Amazon Cognito
Amazon Cognito enregistre les informations relatives à AWS CloudTrail l'activité d'authentification des utilisateurs et aux activités de gestion administrative. Cela s'applique à la fois aux groupes d'utilisateurs et aux groupes d'identités. Par exemple, vous pouvez voir `GetId` des `UpdateIdentityPool` événements dans le même parcours, ou `UpdateAuthEventFeedback` des `SetRiskConfiguration` événements. Vous verrez également les journaux des groupes d'utilisateurs pour les activités de l'interface utilisateur hébergée qui ne correspondent pas aux opérations de l'API des groupes d'utilisateurs. Cette section contient des exemples de journaux que vous pourriez voir. Pour comprendre le schéma des CloudTrail événements pour n'importe quelle opération, générez une demande pour cette opération et passez en revue les événements qu'elle crée dans votre historique.
Un suivi peut transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
**Topics**
+ [Exemples d' CloudTrail événements pour l'inscription à une interface utilisateur hébergée](#cognito-cloudtrail-events-federated-sign-up)
+ [Exemple CloudTrail d'événement pour une demande SAML](#cognito-cloudtrail-event-saml-post)
+ [Exemples d' CloudTrail événements pour les demandes adressées au point de terminaison du jeton](#cognito-cloudtrail-events-token-endpoint-requests)
+ [Exemple CloudTrail d'événement pour CreateIdentityPool](#cognito-cloudtrail-events-createidentitypool)
+ [Exemple CloudTrail d'événement pour GetCredentialsForIdentity](#cognito-cloudtrail-events-getcredentialsforidentity)
+ [Exemple CloudTrail d'événement pour GetId](#cognito-cloudtrail-events-getid)
+ [Exemple CloudTrail d'événement pour GetOpenIdToken](#cognito-cloudtrail-events-getopenidtoken)
+ [Exemple CloudTrail d'événement pour GetOpenIdTokenForDeveloperIdentity](#cognito-cloudtrail-events-getopenidtokenfordeveloperidentity)
+ [Exemple CloudTrail d'événement pour UnlinkIdentity](#cognito-cloudtrail-events-unlinkidentity)
## Exemples d' CloudTrail événements pour l'inscription à une interface utilisateur hébergée
Les exemples d' CloudTrail événements suivants illustrent les informations enregistrées par Amazon Cognito lorsqu'un utilisateur s'inscrit via l'interface utilisateur hébergée.
Amazon Cognito enregistre l’événement suivant lorsqu’un nouvel utilisateur accède à la page de connexion de votre application.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-04-06T05:38:12Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Login_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"errorCode": "",
"errorMessage": "",
"additionalEventData":
{
"responseParameters":
{
"status": 200.0
},
"requestParameters":
{
"redirect_uri":
[
"https://www.amazon.com"
],
"response_type":
[
"token"
],
"client_id":
[
"1example23456789"
]
}
},
"eventID": "382ae09a-151d-4116-8f2b-6ac0a804a38c",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito enregistre l’événement suivant lorsqu’un nouvel utilisateur choisit **Inscrivez-vous** à la page de connexion de votre application.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:21:43Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Signup_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"response_type":
[
"code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "7a63e7c2-b057-4f3d-a171-9d9113264fff",
"eventID": "5e7b27a0-6870-4226-adb4-f86cd51ac5d8",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito consigne l’événement suivant quand un nouvel utilisateur choisit un nom d’utilisateur, saisit une adresse e-mail et choisit un mot de passe sur la page de connexion de votre application. Amazon Cognito n'enregistre aucune information d'identification concernant l'identité de l'utilisateur dans. CloudTrail
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:22:05Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Signup_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"password":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"requiredAttributes[email]":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"response_type":
[
"code"
],
"_csrf":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
],
"username":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "9ad58dd8-3517-4aa8-96a5-d17a01df9eb4",
"eventID": "c75eb7a5-eb8c-43d1-8331-f4412e756e69",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito enregistre l’événement suivant lorsqu’un nouvel utilisateur accède à la page de confirmation de l’utilisateur dans l’interface utilisateur hébergée après son inscription.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:22:06Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Confirm_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"response_type":
[
"code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "58a5b170-3127-45bb-88cc-3e652d779e0b",
"eventID": "7f87291a-6d50-409a-822f-e3a5ec7e60da",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito enregistre l’événement suivant lorsque, sur la page de confirmation utilisateur de l’interface utilisateur hébergée, un utilisateur saisit un code qu’Amazon Cognito lui a envoyé par e-mail.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:23:32Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Confirm_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"confirm":
[
""
],
"deliveryMedium":
[
"EMAIL"
],
"sub":
[
"704b1e47-34fe-40e9-8c41-504997494531"
],
"code":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"destination":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"response_type":
[
"code"
],
"_csrf":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"cognitoAsfData":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
],
"username":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "9764300a-ed35-4f87-8a0f-b18b3fe2b11e",
"eventID": "e24ac6e5-2f70-4c6e-ad4e-2f08a547bb36",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Exemple CloudTrail d'événement pour une demande SAML
Amazon Cognito enregistre l’événement suivant lorsqu’un utilisateur qui s’est authentifié auprès de votre fournisseur d’identité SAML soumet l’assertion SAML à votre point de terminaison `/saml2/idpresponse`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-06T00:50:57Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "SAML2Response_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"RelayState":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"SAMLResponse":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "4f6f15d1-c370-4a57-87f0-aac4817803f7",
"eventID": "9824b50f-d9d1-4fb8-a2c1-6aa78ca5902a",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "625647942648",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Exemples d' CloudTrail événements pour les demandes adressées au point de terminaison du jeton
Voici des exemples d’événements de demandes au [Point de terminaison de jeton](token-endpoint.md).
Amazon Cognito enregistre l’événement suivant lorsqu’un utilisateur qui s’est authentifié et a reçu un code d’autorisation soumet le code à votre point de terminaison `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T22:12:30Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"code":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"grant_type":
[
"authorization_code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "f257f752-cc14-4c52-ad5b-152a46915238",
"eventID": "0bd1586d-cd3e-4d7a-abaf-fd8bfc3912fd",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito consigne l’événement suivant quand votre système backend soumet une demande `client_credentials` de jeton d’accès à votre point de terminaison `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T21:07:05Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"grant_type":
[
"client_credentials"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "4f871256-6825-488a-871b-c2d9f55caff2",
"eventID": "473e5cbc-a5b3-4578-9ad6-3dfdcb8a6d34",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
Amazon Cognito enregistre l’événement suivant lorsque votre application échange un jeton d’actualisation pour un nouvel identifiant et un nouveau jeton d’accès avec votre point de terminaison `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T22:16:40Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"refresh_token":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"grant_type":
[
"refresh_token"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "2829f0c6-a3a9-4584-b046-11756dfe8a81",
"eventID": "12bd3464-59c7-44fa-b8ff-67e1cf092018",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Exemple CloudTrail d'événement pour CreateIdentityPool
L’exemple suivant illustre l’entrée de journal d’une demande exécutée pour l’action `CreateIdentityPool`. Cette demande a été effectuée par un utilisateur IAM prénommé Alice.
```
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "PRINCIPAL_ID",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "['EXAMPLE_KEY_ID']",
"userName": "Alice"
},
"eventTime": "2016-01-07T02:04:30Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "CreateIdentityPool",
"awsRegion": "us-east-1",
"sourceIPAddress": "127.0.0.1",
"userAgent": "USER_AGENT",
"requestParameters": {
"identityPoolName": "TestPool",
"allowUnauthenticatedIdentities": true,
"supportedLoginProviders": {
"graph.facebook.com": "000000000000000"
}
},
"responseElements": {
"identityPoolName": "TestPool",
"identityPoolId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"allowUnauthenticatedIdentities": true,
"supportedLoginProviders": {
"graph.facebook.com": "000000000000000"
}
},
"requestID": "15cc73a1-0780-460c-91e8-e12ef034e116",
"eventID": "f1d47f93-c708-495b-bff1-cb935a6064b2",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemple CloudTrail d'événement pour GetCredentialsForIdentity
L’exemple suivant illustre l’entrée de journal d’une demande exécutée pour l’action `GetCredentialsForIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetCredentialsForIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
"expiration": "Jan 19, 2023 5:55:08 PM"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
"eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Exemple CloudTrail d'événement pour GetId
L’exemple suivant illustre l’entrée de journal d’une demande exécutée pour l’action `GetId`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:05Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetId",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-id",
"requestParameters": {
"identityPoolId": "us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE",
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "dc28def9-07c8-460a-a8f3-3816229e6664",
"eventID": "c5c459d9-40ec-41fd-8f6b-57865d5a9975",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Exemple CloudTrail d'événement pour GetOpenIdToken
L’exemple suivant illustre l’entrée de journal d’une demande exécutée pour l’action `GetOpenIdToken`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetOpenIdToken",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-open-id-token",
"requestParameters": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "a506ba18-10d7-4fdb-9548-a8187b2e38bb",
"eventID": "19ffc1a6-6ed8-4580-a4e1-3062c5ce6457",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Exemple CloudTrail d'événement pour GetOpenIdTokenForDeveloperIdentity
L’exemple suivant illustre l’entrée de journal d’une demande exécutée pour l’action `GetOpenIdTokenForDeveloperIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA1EXAMPLE:johns-AssumedRoleSession",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/johns-AssumedRoleSession",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2023-01-19T16:53:14Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetOpenIdTokenForDeveloperIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "27.0.3.154",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-open-id-token-for-developer-identity",
"requestParameters": {
"tokenDuration": 900,
"identityPoolId": "us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE",
"logins": {
"JohnsDeveloperProvider": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "b807df87-57e7-4dd6-b90c-b06f46a61c21",
"eventID": "f26fed91-3340-4d70-91ae-cdf555547b76",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Exemple CloudTrail d'événement pour UnlinkIdentity
L’exemple suivant illustre l’entrée de journal d’une demande exécutée pour l’action `UnlinkIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "UnlinkIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.unlink-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"loginsToRemove": ["cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa"]
},
"responseElements": null,
"requestID": "99c2c8e2-9c29-416f-bb17-b650a5cbada9",
"eventID": "d8e26126-202a-43c2-b458-3f225efaedc7",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```