本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 中的身分中心資訊 CloudTrail
CloudTrail 當您建立 帳戶 AWS 帳戶 時, 會在 上啟用 。當活動在 IAM Identity Center 中發生時,該活動會與 CloudTrail 事件歷史記錄 中的其他 AWS 服務事件一起記錄在事件中。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱檢視具有事件歷史記錄 CloudTrail 的事件。
若要持續記錄 中的事件 AWS 帳戶,包括 IAM Identity Center 的事件,請建立追蹤。追蹤可讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。根據預設,當您在主控台建立線索時,線索會套用到所有 AWS 區域。追蹤會記錄 AWS 分割區中所有 區域的事件,並將日誌檔案傳送至您指定的 Amazon S3 儲存貯體。此外,您可以設定其他服務 AWS ,以進一步分析 CloudTrail 日誌中收集的事件資料並對其採取行動。如需詳細資訊,請參閱下列內容:
在 中啟用 CloudTrail 記錄時 AWS 帳戶,對 IAM Identity Center 動作的API呼叫會在日誌檔案中追蹤。IAM Identity Center 記錄會與日誌檔案中的其他服務 AWS 記錄一起寫入。根據時段和檔案大小, CloudTrail 決定何時建立新檔案並寫入。
支援下列 IAM Identity Center CloudTrail 操作:
| 主控台API操作 | 公有API操作 |
|---|---|
AssociateDirectory |
AttachManagedPolicyToPermissionSet |
AssociateProfile |
CreateAccountAssignment |
BatchDeleteSession |
CreateInstanceAccessControlAttributeConfiguration |
BatchGetSession |
CreatePermissionSet |
CreateApplicationInstance |
DeleteAccountAssignment |
CreateApplicationInstanceCertificate |
DeleteInlinePolicyFromPermissionSet |
CreatePermissionSet |
DeleteInstanceAccessControlAttributeConfiguration |
CreateProfile |
DeletePermissionSet |
DeleteApplicationInstance |
DescribeAccountAssignmentCreationStatus |
DeleteApplicationInstanceCertificate |
DescribeAccountAssignmentDeletionStatus |
DeletePermissionsPolicy |
DescribeInstanceAccessControlAttributeConfiguration |
DeletePermissionSet |
DescribePermissionSet |
DeleteProfile |
DescribePermissionSetProvisioningStatus |
DescribePermissionsPolicies |
DetachManagedPolicyFromPermissionSet |
DisassociateDirectory |
GetInlinePolicyForPermissionSet |
DisassociateProfile |
ListAccountAssignmentCreationStatus |
GetApplicationInstance |
ListAccountAssignmentDeletionStatus |
GetApplicationTemplate |
ListAccountAssignments |
GetMfaDeviceManagementForDirectory |
ListAccountsForProvisionedPermissionSet |
GetPermissionSet |
ListInstances |
GetSSOStatus |
ListManagedPoliciesInPermissionSet |
ImportApplicationInstanceServiceProviderMetadata |
ListPermissionSetProvisioningStatus |
ListApplicationInstances |
ListPermissionSets |
ListApplicationInstanceCertificates |
ListPermissionSetsProvisionedToAccount |
ListApplicationTemplates |
ListTagsForResource |
ListDirectoryAssociations |
ProvisionPermissionSet |
ListPermissionSets |
PutInlinePolicyToPermissionSet |
ListProfileAssociations |
TagResource |
ListProfiles |
UntagResource |
ListSessions |
UpdateInstanceAccessControlAttributeConfiguration |
PutMfaDeviceManagementForDirectory |
UpdatePermissionSet |
PutPermissionsPolicy |
|
StartSSO |
|
UpdateApplicationInstanceActiveCertificate |
|
UpdateApplicationInstanceDisplayData |
|
UpdateApplicationInstanceServiceProviderConfiguration |
|
UpdateApplicationInstanceStatus |
|
UpdateApplicationInstanceResponseConfiguration |
|
UpdateApplicationInstanceResponseSchemaConfiguration |
|
UpdateApplicationInstanceSecurityConfiguration |
|
UpdateDirectoryAssociation |
|
UpdateProfile |
如需有關 IAM Identity Center 公有API操作的詳細資訊,請參閱 IAM Identity Center API參考指南 。
支援下列 IAM Identity Center Identity Store CloudTrail 操作:
-
AddMemberToGroup -
CompleteVirtualMfaDeviceRegistration -
CompleteWebAuthnDeviceRegistration -
CreateAlias -
CreateExternalIdPConfigurationForDirectory -
CreateGroup -
CreateUser -
DeleteExternalIdPConfigurationForDirectory -
DeleteGroup -
DeleteMfaDeviceForUser -
DeleteUser -
DescribeDirectory -
DescribeGroups -
DescribeUsers -
DisableExternalIdPConfigurationForDirectory -
DisableUser -
EnableExternalIdPConfigurationForDirectory -
EnableUser -
GetAWSSPConfigurationForDirectory -
ListExternalIdPConfigurationsForDirectory -
ListGroupsForUser -
ListMembersInGroup -
ListMfaDevicesForUser -
PutMfaDeviceManagementForDirectory -
RemoveMemberFromGroup -
SearchGroups -
SearchUsers -
StartVirtualMfaDeviceRegistration -
StartWebAuthnDeviceRegistration -
UpdateExternalIdPConfigurationForDirectory -
UpdateGroup -
UpdateMfaDeviceForUser -
UpdatePassword -
UpdateUser -
VerifyEmail
支援下列 IAM Identity Center OIDC CloudTrail 動作:
-
CreateToken
支援下列 IAM Identity Center Portal CloudTrail 動作:
-
Authenticate -
Federate -
ListApplications -
ListProfilesForApplication -
ListAccounts -
ListAccountRoles -
GetRoleCredentials -
Logout
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
-
請求是使用根使用者還是 AWS Identity and Access Management (IAM) 使用者憑證提出。
-
提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
-
該請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 CloudTrail userIdentity元素 。
