Informationen zu Amazon Cognito in CloudTrail - Amazon Cognito
Amazon Cognito-BenutzerpoolsAmazon-Cognito-Identitätspools

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Informationen zu Amazon Cognito in CloudTrail

CloudTrail ist aktiviert, wenn Sie Ihre AWS-Konto erstellen. Wenn unterstützte Ereignisaktivitäten in Amazon Cognito auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail Ereignisverlauf in einem Ereignis aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Amazon Cognito, erstellen Sie einen Trail. Ein CloudTrail Trail liefert Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie ein Trail in der Konsole anlegen, gilt dieser für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:

  • Gibt an, ob die Anforderung mit Root- oder IAM-Benutzer-Anmeldeinformationen ausgeführt wurde.

  • Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.

  • Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.

Weitere Informationen finden Sie unter dem CloudTrail UserIdentity-Element.

Vertrauliche Daten in AWS CloudTrail

Da Benutzerpools und Identitätspools Benutzerdaten verarbeiten, verdeckt Amazon Cognito einige private Felder in Ihren CloudTrail Veranstaltungen mit dem Wert. HIDDEN_FOR_SECURITY_REASONS Beispiele für Felder, die Amazon Cognito bei Ereignissen nicht ausfüllt, finden Sie unter Grundlegendes zu Amazon-Cognito-Anmeldeereignissen. Amazon Cognito verdeckt nur einige Felder, die üblicherweise Benutzerinformationen enthalten, wie Passwörter und Token. Amazon Cognito führt keine automatische Erkennung oder Maskierung von personenbezogenen Daten durch, die Sie in Ihren API-Anforderungen in nicht private Felder eingeben.

Amazon Cognito-Benutzerpools

Amazon Cognito unterstützt die Protokollierung aller Aktionen, die auf der Seite Benutzerpool-Aktionen aufgeführt sind, als Ereignisse in CloudTrail Protokolldateien. Amazon Cognito protokolliert Benutzerpool-Ereignisse CloudTrail als Verwaltungsereignisse.

Das eventType Feld in einem Amazon Cognito CloudTrail Cognito-Benutzerpool-Eintrag gibt an, ob Ihre App die Anfrage an die Amazon Cognito Cognito-Benutzerpools-API oder an einen Endpunkt gestellt hat, der Ressourcen für OpenID Connect, SAML 2.0 oder die gehostete Benutzeroberfläche bereitstellt. API-Anfragen haben den eventType AwsApiCall und Endpunktanfragen den eventType AwsServiceEvent.

Amazon Cognito protokolliert die folgenden gehosteten UI-Anfragen auf Ihrer gehosteten Benutzeroberfläche als Ereignisse in CloudTrail.

Gehostete UI-Operationen in CloudTrail
Operation Beschreibung
Login_GET, CognitoAuthentication Ein Benutzer sieht Ihre Anmeldeinformationen an oder sendet sie an Ihren Login-Endpunkt.
OAuth2_Authorize_GET, Beta_Authorize_GET Ein Benutzer sieht Ihren Autorisieren des Endpunkts an.
OAuth2Response_GET, OAuth2Response_POST Ein Benutzer sendet ein IdP-Token an Ihren /oauth2/idpresponse-Endpunkt.
SAML2Response_POST, Beta_SAML2Response_POST Ein Benutzer sendet eine IdP-SAML-Zusicherung an Ihren /saml2/idpresponse-Endpunkt.
Login_OIDC_SAML_POST Ein Benutzer gibt einen Benutzernamen in Ihrem Login-Endpunkt ein und stimmt mit einer IdP-Kennung überein.
Token_POST, Beta_Token_POST Ein Benutzer sendet einen Autorisierungscode an Ihren Token-Endpunkt.
Signup_GET, Signup_POST Ein Benutzer sendet Anmeldeinformationen an Ihren /signup-Endpunkt.
Confirm_GET, Confirm_POST Ein Benutzer sendet in der gehosteten UI einen Bestätigungscode.
ResendCode_POST Ein Benutzer sendet eine Anfrage zum erneuten Senden eines Bestätigungscodes in der gehosteten UI.
ForgotPassword_GET, ForgotPassword_POST Ein Benutzer sendet eine Anfrage zum Zurücksetzen seines Passworts an Ihren /forgotPassword-Endpunkt.
ConfirmForgotPassword_GET, ConfirmForgotPassword_POST Ein Benutzer sendet einen Code an Ihren /confirmForgotPassword-Endpunkt, der seine ForgotPassword-Anfrage bestätigt.
ResetPassword_GET, ResetPassword_POST Ein Benutzer sendet in der gehosteten UI ein neues Passwort.
Mfa_GET, Mfa_POST Ein Benutzer sendet einen Code zur Multi-Faktor-Authentifizierung (MFA) in der gehosteten UI.
MfaOption_GET, MfaOption_POST Ein Benutzer wählt seine bevorzugte Methode für MFA in der gehosteten UI.
MfaRegister_GET, MfaRegister_POST Ein Benutzer sendet bei der Registrierung der MFA einen Code zur Multi-Faktor-Authentifizierung (MFA) in der gehosteten UI.
Logout Ein Benutzer meldet sich bei Ihrem /logout-Endpunkt ab.
SAML2Logout_POST Ein Benutzer meldet sich bei Ihrem /saml2/logout-Endpunkt ab.
Error_GET Ein Benutzer sieht eine Fehlerseite in der gehosteten UI.
UserInfo_GET, UserInfo_POST Ein Benutzer oder IdP tauscht Informationen mit Ihrem UserInfo-Endpunkt aus.
Confirm_With_Link_GET Ein Benutzer sendet eine Bestätigung, die auf einem Link basiert, den Amazon Cognito in einer E-Mail-Nachricht gesendet hat.
Event_Feedback_GET Ein Benutzer gibt Feedback an Amazon Cognito zu einem Ereignis mit erweiterten Sicherheitsfunktionen.
Anmerkung

Amazon Cognito zeichnet Anfragen auf, die für einen Benutzer spezifisch sind, UserSub jedoch nicht UserName in CloudTrail Protokollen. Sie können einen Benutzer für ein bestimmtes UserSub finden, indem Sie die ListUsers-API aufrufen und einen Filter für sub verwenden.

Amazon-Cognito-Identitätspools

Datenereignisse

Amazon Cognito protokolliert die folgenden Amazon Cognito Identity-Ereignisse CloudTrail als Datenereignisse. Datenereignisse sind API-Operationen mit hohem Volumen auf Datenebene, die standardmäßig CloudTrail nicht protokolliert werden. Für Datenereignisse werden zusätzliche Gebühren fällig.

Um CloudTrail Protokolle für diese API-Operationen zu generieren, müssen Sie Datenereignisse in Ihrem Trail aktivieren und Event-Selektoren für Cognito-Identitätspools auswählen. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen für Trails im AWS CloudTrail -Benutzerhandbuch.

Mit dem folgenden CLI-Befehl können Sie Ihrem Trail auch Ereignisselektoren für Identitätspools hinzufügen.

aws cloudtrail put-event-selectors --trail-name <trail name> --advanced-event-selectors \
"{\
   \"Name\": \"Cognito Selector\",\
   \"FieldSelectors\": [\
      {\
         \"Field\": \"eventCategory\",\
         \"Equals\": [\
            \"Data\"\
         ]\
      },\
      {\
         \"Field\": \"resources.type\",\
         \"Equals\": [\
            \"AWS::Cognito::IdentityPool\"\
         ]\
      }\
   ]\
}"

Verwaltungsereignisse

Amazon Cognito protokolliert die restlichen API-Operationen von Amazon Cognito Identity Pools als Verwaltungsereignisse. CloudTrail protokolliert standardmäßig API-Operationen für Verwaltungsereignisse.

Eine Liste der Amazon Cognito-Identitätspools-API-Operationen, bei denen Amazon Cognito protokolliert CloudTrail, finden Sie in der Amazon Cognito Cognito-Identitätspools-API-Referenz.

Amazon Cognito Sync

Amazon Cognito protokolliert alle Amazon Cognito Sync-API-Operationen als Verwaltungsereignisse. Eine Liste der Amazon Cognito Sync API-Operationen, bei denen Amazon Cognito sich anmeldet CloudTrail, finden Sie in der Amazon Cognito Sync API-Referenz.