Benutzername bei Anmeldeereignissen CloudTrail - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzername bei Anmeldeereignissen CloudTrail

IAM Identity Center gibt das UserName Feld unter dem additionalEventData Element einmal pro erfolgreicher Anmeldung eines IAM Identity Center-Benutzers aus. In der folgenden Liste werden der Umfang der beiden Anmeldeereignisse und die Bedingungen, unter denen diese Ereignisse auftreten, beschrieben. Nur eine der Bedingungen kann erfüllt sein, wenn sich ein Benutzer anmeldet.

  • CredentialChallenge

    • Wann CredentialType ist "PASSWORD" — gilt für die Passwortauthentifizierung mit AWS Directory Service oder IAM-Identity-Center-Verzeichnis.

    • Wann CredentialType ist "EMAIL_OTP" — gilt nur für den IAM-Identity-Center-Verzeichnis Fall, dass ein mit einem CreateUser API-Aufruf erstellter Benutzer versucht, sich zum ersten Mal anzumelden, und der Benutzer ein Einmalpasswort erhält, mit dem er sich einmal mit diesem Passwort anmelden kann.

  • UserAuthentication

    • Wann CredentialType ist "EXTERNAL_IDP" — gilt für die Authentifizierung mit einem externen IdP.

Der Wert von UserName für erfolgreiche Authentifizierungen lautet wie folgt:

  • Wenn die Identitätsquelle ein externer IdP ist, entspricht der Wert dem nameID Wert in der eingehenden SAML-Assertion. Dieser Wert entspricht dem UserName Feld in der. IAM-Identity-Center-Verzeichnis

  • Wenn es sich bei der Identitätsquelle um eine handelt IAM-Identity-Center-Verzeichnis, entspricht der ausgegebene Wert dem UserName Feld in diesem Verzeichnis.

  • Wenn die Identitätsquelle der ist AWS Directory Service, entspricht der ausgegebene Wert dem Benutzernamen, den der Benutzer bei der Authentifizierung eingibt. Beispielsweise kann sich ein Benutzer, der den Benutzernamen hatanyuser@company.com, mitanyuser, oder authentifizieren anyuser@company.comcompany.com/anyuser, und in jedem Fall wird der eingegebene Wert CloudTrail jeweils ausgegeben.

Sicherheitsmaskierung falscher Versuche mit dem Benutzernamen

Das UserName Feld enthält die Zeichenfolge, HIDDEN_DUE_TO_SECURITY_REASONS wenn es sich bei dem aufgezeichneten Ereignis um einen Anmeldefehler auf der Konsole handelt, der durch eine falsche Eingabe des Benutzernamens verursacht wurde. CloudTrail zeichnet den Inhalt in diesem Fall nicht auf, da der Text vertrauliche Informationen enthalten könnte, wie in den folgenden Beispielen beschrieben:

  • Ein Benutzer gibt versehentlich ein Passwort im Feld für den Benutzernamen ein.

  • Ein Benutzer gibt versehentlich den Kontonamen eines persönlichen E-Mail-Kontos, eine Bank-Anmelde-ID oder eine andere private ID ein.

Tipp

Wir empfehlen Ihnen, userId und zu verwenden, identityStoreArn um den Benutzer zu identifizieren, der hinter den IAM Identity CloudTrail Center-Ereignissen steht. Wenn Sie das userName Feld verwenden müssen, können Sie das Element userName unter dem additionalEventData Element verwenden, das bei jeder erfolgreichen Anmeldung einmal ausgegeben wird.

Weitere Informationen darüber, wie Sie das UserName Feld verwenden können, finden Sie Korrelieren von Benutzerereignissen innerhalb derselben Benutzersitzung unter.