IAM身分識別中心資訊 CloudTrail - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM身分識別中心資訊 CloudTrail

CloudTrail 已在您的 AWS 帳戶 當您創建帳戶時。當活動發生在IAM身分識別中心時,該活動會與其他活動一起記錄在 CloudTrail 事件中 AWS 事件歷史記錄中的服務事件。您可以查看,搜索和下載最近的事件 AWS 帳戶。 如需詳細資訊,請參閱使用 CloudTrail 事件歷程記錄檢視事件

在您的事件的持續記錄 AWS 帳戶(包括IAM身分識別中心的事件) 會建立追蹤。追蹤可 CloudTrail 將日誌檔交付到 Amazon S3 儲存貯體。根據預設,當您在主控台中建立追蹤時,追蹤會套用至所有 AWS 區域。追蹤記錄中所有區域的事件 AWS 對日誌檔進行分割,並將其交付到您指定的 Amazon S3 儲存貯體。此外,您可以配置其他 AWS 用於進一步分析 CloudTrail 記錄中收集的事件資料並採取行動的服務。如需詳細資訊,請參閱下列內容:

在中啟用 CloudTrail 日誌記錄時 AWS 帳戶,系統會在記錄檔中追蹤對「IAM身分識別中心」動作的API呼叫。IAM身分識別中心記錄與其他記錄一起寫入 AWS 記錄檔中的服務記錄。 CloudTrail 根據時間週期和檔案大小決定何時建立和寫入新檔案。

支援下列IAM身分識別中心 CloudTrail 作業:

控制台API操作 公共API運作
AssociateDirectory AttachManagedPolicyToPermissionSet
AssociateProfile CreateAccountAssignment
BatchDeleteSession CreateInstanceAccessControlAttributeConfiguration
BatchGetSession CreatePermissionSet
CreateApplicationInstance DeleteAccountAssignment
CreateApplicationInstanceCertificate DeleteInlinePolicyFromPermissionSet
CreatePermissionSet DeleteInstanceAccessControlAttributeConfiguration
CreateProfile DeletePermissionSet
DeleteApplicationInstance DescribeAccountAssignmentCreationStatus
DeleteApplicationInstanceCertificate DescribeAccountAssignmentDeletionStatus
DeletePermissionsPolicy DescribeInstanceAccessControlAttributeConfiguration
DeletePermissionSet DescribePermissionSet
DeleteProfile DescribePermissionSetProvisioningStatus
DescribePermissionsPolicies DetachManagedPolicyFromPermissionSet
DisassociateDirectory GetInlinePolicyForPermissionSet
DisassociateProfile ListAccountAssignmentCreationStatus
GetApplicationInstance ListAccountAssignmentDeletionStatus
GetApplicationTemplate ListAccountAssignments
GetMfaDeviceManagementForDirectory ListAccountsForProvisionedPermissionSet
GetPermissionSet ListInstances
GetSSOStatus ListManagedPoliciesInPermissionSet
ImportApplicationInstanceServiceProviderMetadata ListPermissionSetProvisioningStatus
ListApplicationInstances ListPermissionSets
ListApplicationInstanceCertificates ListPermissionSetsProvisionedToAccount
ListApplicationTemplates ListTagsForResource
ListDirectoryAssociations ProvisionPermissionSet
ListPermissionSets PutInlinePolicyToPermissionSet
ListProfileAssociations TagResource
ListProfiles UntagResource
ListSessions UpdateInstanceAccessControlAttributeConfiguration
PutMfaDeviceManagementForDirectory UpdatePermissionSet
PutPermissionsPolicy
StartSSO
UpdateApplicationInstanceActiveCertificate
UpdateApplicationInstanceDisplayData
UpdateApplicationInstanceServiceProviderConfiguration
UpdateApplicationInstanceStatus
UpdateApplicationInstanceResponseConfiguration
UpdateApplicationInstanceResponseSchemaConfiguration
UpdateApplicationInstanceSecurityConfiguration
UpdateDirectoryAssociation
UpdateProfile

如需IAM身分識別中心公開API作業的詳細資訊,請參閱IAM身分識別中心API參考指南

支援下列IAM身分識別中心身分識別存放區 CloudTrail 作業:

  • AddMemberToGroup

  • CompleteVirtualMfaDeviceRegistration

  • CompleteWebAuthnDeviceRegistration

  • CreateAlias

  • CreateExternalIdPConfigurationForDirectory

  • CreateGroup

  • CreateUser

  • DeleteExternalIdPConfigurationForDirectory

  • DeleteGroup

  • DeleteMfaDeviceForUser

  • DeleteUser

  • DescribeDirectory

  • DescribeGroups

  • DescribeUsers

  • DisableExternalIdPConfigurationForDirectory

  • DisableUser

  • EnableExternalIdPConfigurationForDirectory

  • EnableUser

  • GetAWSSPConfigurationForDirectory

  • ListExternalIdPConfigurationsForDirectory

  • ListGroupsForUser

  • ListMembersInGroup

  • ListMfaDevicesForUser

  • PutMfaDeviceManagementForDirectory

  • RemoveMemberFromGroup

  • SearchGroups

  • SearchUsers

  • StartVirtualMfaDeviceRegistration

  • StartWebAuthnDeviceRegistration

  • UpdateExternalIdPConfigurationForDirectory

  • UpdateGroup

  • UpdateMfaDeviceForUser

  • UpdatePassword

  • UpdateUser

  • VerifyEmail

支援下列「IAM身分識別中心」OIDC CloudTrail 動作:

  • CreateToken

支援下列「IAM身分識別中心入口網站 CloudTrail 」動作:

  • Authenticate

  • Federate

  • ListApplications

  • ListProfilesForApplication

  • ListAccounts

  • ListAccountRoles

  • GetRoleCredentials

  • Logout

每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:

  • 無論是根用戶提出的請求還是 AWS Identity and Access Management (IAM) 使用者認證。

  • 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。

  • 請求是否由另一個人提出 AWS 服務。

如需詳細資訊,請參閱CloudTrail userIdentity元素