As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Informações do Amazon Cognito em CloudTrail
CloudTrail é ativado quando você cria seu Conta da AWS. Quando uma atividade de evento suportada ocorre no Amazon Cognito, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.
Para um registro contínuo de eventos em sua AWS conta, incluindo eventos para o Amazon Cognito, crie uma trilha. Uma CloudTrail trilha entrega arquivos de log para um bucket do Amazon S3. Por padrão, ao criar uma trilha no console, ela é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
-
Se a solicitação foi feita com credenciais raiz ou de IAM usuário.
-
Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
-
Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte o CloudTrail userIdentity elemento.
Dados confidenciais em AWS CloudTrail
Como grupos de usuários e grupos de identidades processam dados do usuário, o Amazon Cognito obscurece alguns campos privados em seus CloudTrail eventos com o valor. HIDDEN_FOR_SECURITY_REASONS Para ver exemplos de campos que o Amazon Cognito não preenche para eventos, consulte Compreender os eventos de login do Amazon Cognito. O Amazon Cognito oculta apenas alguns campos que normalmente contêm informações do usuário, como senhas e tokens. O Amazon Cognito não realiza nenhuma detecção ou mascaramento automático de informações de identificação pessoal que você preenche em campos não privados em suas solicitações. API
Grupos de usuários do Amazon Cognito
O Amazon Cognito suporta o registro em log de todas as ações listadas na página de ações do grupo de usuários como eventos em arquivos de CloudTrail log. O Amazon Cognito registra eventos do grupo de usuários CloudTrail como eventos de gerenciamento.
O eventType campo em uma CloudTrail entrada de grupos de usuários do Amazon Cognito informa se seu aplicativo fez a solicitação aos API grupos de usuários do Amazon Cognito ou a um endpoint que fornece recursos para o OpenID SAML Connect 2.0 ou para a interface de usuário hospedada. APIas solicitações têm um eventType de AwsApiCall e as solicitações de endpoint têm um eventType deAwsServiceEvent.
O Amazon Cognito registra as seguintes solicitações de UI hospedada em sua UI hospedada como eventos em. CloudTrail
Operações de interface de usuário hospedadas em CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Operation | Descrição | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET, CognitoAuthentication |
Um usuário visualiza ou envia credenciais para o Endpoint de login. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET, Beta_Authorize_GET |
Um usuário visualiza o Autorizar endpoint. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET, OAuth2Response_POST |
Um usuário envia um token de IdP ao endpoint /oauth2/idpresponse. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST, Beta_SAML2Response_POST |
Um usuário envia uma SAML declaração de IdP para seu endpoint. /saml2/idpresponse |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
Um usuário insere um nome de usuário no Endpoint de login e ele corresponde a um identificador IdP. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST, Beta_Token_POST |
Um usuário envia um código de autorização ao Endpoint de token. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET, Signup_POST |
Um usuário envia informações de login ao endpoint /signup. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET, Confirm_POST |
Um usuário envia um código de confirmação na interface do usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
Um usuário envia uma solicitação de reenvio de código de confirmação na interface do usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET, ForgotPassword_POST |
Um usuário envia uma solicitação de redefinição de senha ao endpoint /forgotPassword. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET,
ConfirmForgotPassword_POST |
Um usuário envia um código ao endpoint /confirmForgotPassword que confirma a solicitação de ForgotPassword. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET, ResetPassword_POST |
Um usuário envia uma nova senha na interface do usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET, Mfa_POST |
Um usuário envia um código de autenticação multifator (MFA) na interface hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET, MfaOption_POST |
Um usuário escolhe seu método preferido MFA na interface de usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET, MfaRegister_POST |
Um usuário envia um código de autenticação multifator (MFA) na interface hospedada ao registrar o. MFA | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
Um usuário faz logout no endpoint /logout. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
Um usuário faz logout no endpoint /saml2/logout. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
Um usuário visualiza uma página de erro na interface do usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET, UserInfo_POST |
Um usuário ou IdP troca informações com o Endpoint do UserInfo. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
Um usuário envia uma confirmação baseada em um link que o Amazon Cognito enviou em uma mensagem de e-mail. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
Um usuário envia feedback para o Amazon Cognito sobre um evento de recursos de segurança avançada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
nota
O Amazon Cognito registraUserSub, mas não UserName em CloudTrail registros, solicitações específicas de um usuário. Você pode encontrar um usuário para um determinado UserSub chamando o ListUsers API e usando um filtro para sub.
Banco de identidades do Amazon Cognito
Eventos de dados
O Amazon Cognito registra os seguintes eventos de identidade do Amazon Cognito como eventos CloudTrail de dados. Eventos de dados são API operações de alto volume no plano de dados que CloudTrail não são registradas por padrão. Há cobranças adicionais para eventos de dados.
Para gerar CloudTrail registros para essas API operações, você deve ativar eventos de dados em sua trilha e escolher seletores de eventos para os grupos de identidade do Cognito. Para obter mais informações, consulte Registro eventos de dados em logs para trilhas no Guia do usuário do AWS CloudTrail .
Você também pode adicionar seletores de eventos de grupos de identidade à sua trilha com o CLI comando a seguir.
aws cloudtrail put-event-selectors --trail-name<trail name>--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
Eventos de gerenciamento
O Amazon Cognito registra o restante das operações dos grupos API de identidade do Amazon Cognito como eventos de gerenciamento. CloudTrail APIoperações de eventos de gerenciamento de registros por padrão.
Para obter uma lista das API operações dos grupos de identidades do Amazon Cognito nas quais o Amazon Cognito se registra, consulte CloudTrail a Referência dos grupos de identidade do Amazon Cognito. API
Amazon Cognito Sync
O Amazon Cognito registra todas as operações do Amazon Cognito API Sync como eventos de gerenciamento. Para obter uma lista das API operações do Amazon Cognito Sync nas quais o Amazon Cognito faz login CloudTrail, consulte a Referência do Amazon Cognito Sync. API
