Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Informationen zu Amazon Cognito in CloudTrail
CloudTrail ist aktiviert, wenn Sie Ihre AWS-Konto erstellen. Wenn unterstützte Ereignisaktivitäten in Amazon Cognito auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail Ereignisverlauf in einem Ereignis aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.
Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Amazon Cognito, erstellen Sie einen Trail. Ein CloudTrail Trail liefert Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie ein Trail in der Konsole anlegen, gilt dieser für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
-
Gibt an, ob die Anforderung mit Root- oder IAM-Benutzer-Anmeldeinformationen ausgeführt wurde.
-
Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
-
Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter dem CloudTrail UserIdentity-Element.
Vertrauliche Daten in AWS CloudTrail
Da Benutzerpools und Identitätspools Benutzerdaten verarbeiten, verdeckt Amazon Cognito einige private Felder in Ihren CloudTrail Veranstaltungen mit dem Wert. HIDDEN_FOR_SECURITY_REASONS
Beispiele für Felder, die Amazon Cognito bei Ereignissen nicht ausfüllt, finden Sie unter Grundlegendes zu Amazon-Cognito-Anmeldeereignissen. Amazon Cognito verdeckt nur einige Felder, die üblicherweise Benutzerinformationen enthalten, wie Passwörter und Token. Amazon Cognito führt keine automatische Erkennung oder Maskierung von personenbezogenen Daten durch, die Sie in Ihren API-Anforderungen in nicht private Felder eingeben.
Amazon Cognito-Benutzerpools
Amazon Cognito unterstützt die Protokollierung aller Aktionen, die auf der Seite Benutzerpool-Aktionen aufgeführt sind, als Ereignisse in CloudTrail Protokolldateien. Amazon Cognito protokolliert Benutzerpool-Ereignisse CloudTrail als Verwaltungsereignisse.
Das eventType
Feld in einem Amazon Cognito CloudTrail Cognito-Benutzerpool-Eintrag gibt an, ob Ihre App die Anfrage an die Amazon Cognito Cognito-Benutzerpools-API oder an einen Endpunkt gestellt hat, der Ressourcen für OpenID Connect, SAML 2.0 oder die gehostete Benutzeroberfläche bereitstellt. API-Anfragen haben den eventType
AwsApiCall
und Endpunktanfragen den eventType
AwsServiceEvent
.
Amazon Cognito protokolliert die folgenden gehosteten UI-Anfragen auf Ihrer gehosteten Benutzeroberfläche als Ereignisse in CloudTrail.
Gehostete UI-Operationen in CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Operation | Beschreibung | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET , CognitoAuthentication |
Ein Benutzer sieht Ihre Anmeldeinformationen an oder sendet sie an Ihren Login-Endpunkt. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET , Beta_Authorize_GET |
Ein Benutzer sieht Ihren Autorisieren des Endpunkts an. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET , OAuth2Response_POST |
Ein Benutzer sendet ein IdP-Token an Ihren /oauth2/idpresponse -Endpunkt. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST , Beta_SAML2Response_POST |
Ein Benutzer sendet eine IdP-SAML-Zusicherung an Ihren /saml2/idpresponse -Endpunkt. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
Ein Benutzer gibt einen Benutzernamen in Ihrem Login-Endpunkt ein und stimmt mit einer IdP-Kennung überein. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST , Beta_Token_POST |
Ein Benutzer sendet einen Autorisierungscode an Ihren Token-Endpunkt. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET , Signup_POST |
Ein Benutzer sendet Anmeldeinformationen an Ihren /signup -Endpunkt. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET , Confirm_POST |
Ein Benutzer sendet in der gehosteten UI einen Bestätigungscode. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
Ein Benutzer sendet eine Anfrage zum erneuten Senden eines Bestätigungscodes in der gehosteten UI. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET , ForgotPassword_POST |
Ein Benutzer sendet eine Anfrage zum Zurücksetzen seines Passworts an Ihren /forgotPassword -Endpunkt. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET ,
ConfirmForgotPassword_POST |
Ein Benutzer sendet einen Code an Ihren /confirmForgotPassword -Endpunkt, der seine ForgotPassword -Anfrage bestätigt. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET , ResetPassword_POST |
Ein Benutzer sendet in der gehosteten UI ein neues Passwort. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET , Mfa_POST |
Ein Benutzer sendet einen Code zur Multi-Faktor-Authentifizierung (MFA) in der gehosteten UI. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET , MfaOption_POST |
Ein Benutzer wählt seine bevorzugte Methode für MFA in der gehosteten UI. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET , MfaRegister_POST |
Ein Benutzer sendet bei der Registrierung der MFA einen Code zur Multi-Faktor-Authentifizierung (MFA) in der gehosteten UI. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
Ein Benutzer meldet sich bei Ihrem /logout -Endpunkt ab. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
Ein Benutzer meldet sich bei Ihrem /saml2/logout -Endpunkt ab. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
Ein Benutzer sieht eine Fehlerseite in der gehosteten UI. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET , UserInfo_POST |
Ein Benutzer oder IdP tauscht Informationen mit Ihrem UserInfo-Endpunkt aus. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
Ein Benutzer sendet eine Bestätigung, die auf einem Link basiert, den Amazon Cognito in einer E-Mail-Nachricht gesendet hat. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
Ein Benutzer gibt Feedback an Amazon Cognito zu einem Ereignis mit erweiterten Sicherheitsfunktionen. |
Anmerkung
Amazon Cognito zeichnet Anfragen auf, die für einen Benutzer spezifisch sind, UserSub
jedoch nicht UserName
in CloudTrail Protokollen. Sie können einen Benutzer für ein bestimmtes UserSub
finden, indem Sie die ListUsers
-API aufrufen und einen Filter für sub verwenden.
Amazon-Cognito-Identitätspools
Datenereignisse
Amazon Cognito protokolliert die folgenden Amazon Cognito Identity-Ereignisse CloudTrail als Datenereignisse. Datenereignisse sind API-Operationen mit hohem Volumen auf Datenebene, die standardmäßig CloudTrail nicht protokolliert werden. Für Datenereignisse werden zusätzliche Gebühren fällig.
Um CloudTrail Protokolle für diese API-Operationen zu generieren, müssen Sie Datenereignisse in Ihrem Trail aktivieren und Event-Selektoren für Cognito-Identitätspools auswählen. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen für Trails im AWS CloudTrail -Benutzerhandbuch.
Mit dem folgenden CLI-Befehl können Sie Ihrem Trail auch Ereignisselektoren für Identitätspools hinzufügen.
aws cloudtrail put-event-selectors --trail-name
<trail name>
--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
Verwaltungsereignisse
Amazon Cognito protokolliert die restlichen API-Operationen von Amazon Cognito Identity Pools als Verwaltungsereignisse. CloudTrail protokolliert standardmäßig API-Operationen für Verwaltungsereignisse.
Eine Liste der Amazon Cognito-Identitätspools-API-Operationen, bei denen Amazon Cognito protokolliert CloudTrail, finden Sie in der Amazon Cognito Cognito-Identitätspools-API-Referenz.
Amazon Cognito Sync
Amazon Cognito protokolliert alle Amazon Cognito Sync-API-Operationen als Verwaltungsereignisse. Eine Liste der Amazon Cognito Sync API-Operationen, bei denen Amazon Cognito sich anmeldet CloudTrail, finden Sie in der Amazon Cognito Sync API-Referenz.