Login no Amazon Cognito AWS CloudTrail - Amazon Cognito
Informações que o Amazon Cognito envia para CloudTrailAnálise de CloudTrail eventos do Amazon Cognito com o Amazon Logs Insights CloudWatch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Login no Amazon Cognito AWS CloudTrail

O Amazon Cognito é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Amazon Cognito. CloudTrail captura um subconjunto de chamadas de API para o Amazon Cognito como eventos, incluindo chamadas do console do Amazon Cognito e de chamadas de código para as operações da API do Amazon Cognito. Se você criar uma trilha, poderá optar por entregar CloudTrail eventos em um bucket do Amazon S3, incluindo eventos para o Amazon Cognito. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Amazon Cognito, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.

Para saber mais CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o Guia AWS CloudTrail do usuário.

Você também pode criar CloudWatch alarmes da Amazon para CloudTrail eventos específicos. Por exemplo, você pode configurar o CloudWatch para acionar um alarme se uma configuração de grupo de identidades for alterada. Para obter mais informações, consulte Criação de CloudWatch alarmes para CloudTrail eventos: exemplos.

Tópicos

Informações que o Amazon Cognito envia para CloudTrail

CloudTrail é ativado quando você cria seu Conta da AWS. Quando uma atividade de evento suportada ocorre no Amazon Cognito, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.

Para um registro contínuo de eventos em sua AWS conta, incluindo eventos para o Amazon Cognito, crie uma trilha. Uma CloudTrail trilha entrega arquivos de log para um bucket do Amazon S3. Por padrão, quando uma trilha é criada no console, a mesma é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

  • Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.

  • Se a solicitação foi feita por outro AWS serviço.

Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

Dados confidenciais em AWS CloudTrail

Como grupos de usuários e grupos de identidades processam dados do usuário, o Amazon Cognito obscurece alguns campos privados em seus CloudTrail eventos com o valor. HIDDEN_FOR_SECURITY_REASONS Para ver exemplos de campos que o Amazon Cognito não preenche para eventos, consulte Exemplo de eventos do Amazon Cognito. O Amazon Cognito oculta apenas alguns campos que normalmente contêm informações do usuário, como senhas e tokens. O Amazon Cognito não realiza nenhuma detecção ou mascaramento automático de informações de identificação pessoal que você preenche em campos não privados em suas solicitações de API.

Eventos do pool de usuários

O Amazon Cognito suporta o registro em log de todas as ações listadas na página de ações do grupo de usuários como eventos em arquivos de CloudTrail log. O Amazon Cognito registra eventos do grupo de usuários CloudTrail como eventos de gerenciamento.

O eventType campo em uma CloudTrail entrada de grupos de usuários do Amazon Cognito informa se seu aplicativo fez a solicitação para a API de grupos de usuários do Amazon Cognito ou para um endpoint que fornece recursos para OpenID Connect, SAML 2.0 ou páginas de login gerenciadas. As solicitações de API têm um eventType de AwsApiCall e as solicitações de endpoint têm um eventType de AwsServiceEvent.

O Amazon Cognito registra as seguintes solicitações em seus serviços de login gerenciados como eventos em. CloudTrail

Hosted UI (classic) events
Eventos de UI hospedados (clássicos) em CloudTrail
Operação Descrição
Login_GET, CognitoAuthentication Um usuário visualiza ou envia credenciais para o Endpoint de login.
OAuth2_Authorize_GET, Beta_Authorize_GET Um usuário visualiza o Autorizar endpoint.
OAuth2Response_GET, OAuth2Response_POST Um usuário envia um token de IdP ao endpoint /oauth2/idpresponse.
SAML2Response_POST, Beta_SAML2Response_POST Um usuário envia uma afirmação SAML do IdP ao endpoint /saml2/idpresponse.
Login_OIDC_SAML_POST Um usuário insere um nome de usuário no Endpoint de login e ele corresponde a um identificador IdP.
Token_POST, Beta_Token_POST Um usuário envia um código de autorização ao Endpoint de token.
Signup_GET, Signup_POST Um usuário envia informações de login ao endpoint /signup.
Confirm_GET, Confirm_POST Um usuário envia um código de confirmação na interface do usuário hospedada.
ResendCode_POST Um usuário envia uma solicitação de reenvio de código de confirmação na interface do usuário hospedada.
ForgotPassword_GET, ForgotPassword_POST Um usuário envia uma solicitação de redefinição de senha ao endpoint /forgotPassword.
ConfirmForgotPassword_GET, ConfirmForgotPassword_POST Um usuário envia um código ao endpoint /confirmForgotPassword que confirma a solicitação de ForgotPassword.
ResetPassword_GET, ResetPassword_POST Um usuário envia uma nova senha na interface do usuário hospedada.
Mfa_GET, Mfa_POST Um usuário envia um código de autenticação multifator (MFA) na interface do usuário hospedada.
MfaOption_GET, MfaOption_POST Um usuário escolhe seu método preferido de MFA na interface do usuário hospedada.
MfaRegister_GET, MfaRegister_POST Um usuário envia um código de autenticação multifator (MFA) na interface do usuário hospedada ao registrar a MFA.
Logout Um usuário faz logout no endpoint /logout.
SAML2Logout_POST Um usuário faz logout no endpoint /saml2/logout.
Error_GET Um usuário visualiza uma página de erro na interface do usuário hospedada.
UserInfo_GET, UserInfo_POST Um usuário ou IdP troca informações com o endpoint userinfo.
Confirm_With_Link_GET Um usuário envia uma confirmação baseada em um link que o Amazon Cognito enviou em uma mensagem de e-mail.
Event_Feedback_GET Um usuário envia feedback para o Amazon Cognito sobre um evento de recursos de segurança avançada.
Managed login events
Eventos de login gerenciados em CloudTrail
Operação Descrição
login_POST Um usuário envia credenciais para o seu. Endpoint de login
login_continue_POST Um usuário que já fez login uma vez opta por entrar novamente.
selectChallenge_POST Um usuário responde a um desafio de autenticação depois de enviar seu nome de usuário ou credenciais.
confirmUser_GET Um usuário abre o link em uma mensagem de e-mail de confirmação ou verificação.
mfa_back_POST Um usuário escolhe o botão Voltar após uma solicitação de MFA.
mfa_options_POST Um usuário seleciona uma opção de MFA.
mfa_phone_register_POST Um usuário envia um número de telefone para se registrar como fator de MFA. Essa operação faz com que o Amazon Cognito envie um código de MFA para seu número de telefone.
mfa_phone_verify_POST Um usuário envia um código de MFA enviado para seu número de telefone.
mfa_phone_resendCode_POST Um usuário envia uma solicitação para reenviar um código de MFA para seu número de telefone.
mfa_totp_POST Um usuário envia um código TOTP MFA.
signup_POST Um usuário envia informações para sua página de login /signup gerenciada.
signup_confirm_POST Um usuário envia um código de confirmação a partir de um e-mail ou mensagem SMS.
verifyCode_POST Um usuário envia uma senha de uso único (OTP) para autenticação sem senha.
passkeys_add_POST Um usuário envia uma solicitação para registrar uma nova credencial de chave de acesso.
passkeys_add_GET Um usuário navega até a página em que pode registrar uma chave de acesso.
login_passkey_POST Um usuário faz login com uma chave de acesso.
nota

O Amazon Cognito registraUserSub, mas não UserName em CloudTrail registros, solicitações específicas de um usuário. Você pode encontrar um usuário para um determinado UserSub chamando a API ListUsers e usando um filtro para sub.

Eventos de bancos de identidades

Eventos de dados

O Amazon Cognito registra os seguintes eventos de identidade do Amazon Cognito como eventos CloudTrail de dados. Eventos de dados são operações de API de plano de dados de alto volume que CloudTrail não são registradas por padrão. Há cobranças adicionais para eventos de dados.

Para gerar CloudTrail registros para essas operações de API, você deve ativar eventos de dados em sua trilha e escolher seletores de eventos para os grupos de identidade do Cognito. Para obter mais informações, consulte Registro eventos de dados em logs para trilhas no Guia do usuário do AWS CloudTrail .

Você também pode adicionar seletores de eventos de grupos de identidades à sua trilha com o comando da CLI a seguir.

aws cloudtrail put-event-selectors --trail-name <trail name> --advanced-event-selectors \
"{\
   \"Name\": \"Cognito Selector\",\
   \"FieldSelectors\": [\
      {\
         \"Field\": \"eventCategory\",\
         \"Equals\": [\
            \"Data\"\
         ]\
      },\
      {\
         \"Field\": \"resources.type\",\
         \"Equals\": [\
            \"AWS::Cognito::IdentityPool\"\
         ]\
      }\
   ]\
}"

Eventos de gerenciamento

O Amazon Cognito registra o restante das operações de API dos grupos de identidade do Amazon Cognito como eventos de gerenciamento. CloudTrail operações de API de eventos de gerenciamento de registros por padrão.

Para obter uma lista das operações de API dos grupos de identidades do Amazon Cognito nas quais o Amazon Cognito se CloudTrail registra, consulte a Referência da API dos grupos de identidades do Amazon Cognito.

Amazon Cognito Sync

O Amazon Cognito registra todas as operações da API do Amazon Cognito Sync como eventos de gerenciamento. Para obter uma lista das operações da API Amazon Cognito Sync nas quais o Amazon Cognito faz login, consulte a Referência CloudTrail da API Amazon Cognito Sync.

Análise de CloudTrail eventos do Amazon Cognito com o Amazon Logs Insights CloudWatch

Você pode pesquisar e analisar seus CloudTrail eventos do Amazon Cognito com o Amazon CloudWatch Logs Insights. Quando você configura sua trilha para enviar eventos para o CloudWatch Logs, CloudTrail envia somente os eventos que correspondem às suas configurações de trilha.

Para consultar ou pesquisar seus CloudTrail eventos do Amazon Cognito, no CloudTrail console, certifique-se de selecionar a opção Gerenciamento de eventos nas configurações da trilha para poder monitorar as operações de gerenciamento realizadas em seus AWS recursos. Você pode selecionar a opção Eventos do Insights nas configurações de trilha quando quiser identificar erros, atividades ou comportamento incomuns do usuário em sua conta.

Exemplos de consultas do Amazon Cognito

Você pode usar as seguintes consultas no CloudWatch console da Amazon.

Consultas gerais

Encontre os 25 eventos de log adicionados mais recentemente.

fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"

Obtenha uma lista dos 25 eventos de log adicionados mais recentemente que incluem exceções.

fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/

Consultas de exceção e erro

Encontre os 25 eventos de log adicionados mais recentemente com código de erro NotAuthorizedException junto com o grupo de usuários do Amazon Cognito sub.

fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"

Encontre o número de registros com sourceIPAddress e o correspondente eventName.

filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventName

Encontre os 25 principais endereços IP que acionaram um erro de NotAuthorizedException.

filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25

Encontre os 25 principais endereços IP que chamaram a API ForgotPassword.

filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25