Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Inicio de sesión en Amazon Cognito AWS CloudTrail
Amazon Cognito está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Amazon Cognito. CloudTrail captura un subconjunto de API llamadas de Amazon Cognito como eventos, incluidas las llamadas desde la consola de Amazon Cognito y las llamadas en código a las operaciones de Amazon Cognito. API Si crea una ruta, puede optar por enviar CloudTrail los eventos a un bucket de Amazon S3, incluidos los eventos de Amazon Cognito. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el historial de eventos. Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Amazon Cognito, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, incluido cómo configurarlo y activarlo, consulte la Guía del AWS CloudTrail usuario.
También puedes crear CloudWatch alarmas de Amazon para CloudTrail eventos específicos. Por ejemplo, puede configurarlo CloudWatch para que se active una alarma si se cambia la configuración de un grupo de identidades. Para obtener más información, consulte Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos.
Temas
Información que Amazon Cognito envía a CloudTrail
CloudTrail se activa al crear su. Cuenta de AWSCuando se produce una actividad de eventos admitida en Amazon Cognito, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Puede ver, buscar y descargar los eventos recientes en su AWS cuenta. Para obtener más información, consulta Cómo ver eventos con el historial de CloudTrail eventos.
Para obtener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de Amazon Cognito, cree una ruta. Un CloudTrail rastro envía los archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte:
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:
-
Si la solicitud se realizó con credenciales de IAM usuario o raíz.
-
Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
-
Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el CloudTrail userIdentity elemento.
Datos confidenciales en AWS CloudTrail
Dado que los grupos de usuarios y los grupos de identidades procesan los datos de los usuarios, Amazon Cognito oculta algunos campos privados de sus CloudTrail eventos con el valor. HIDDEN_FOR_SECURITY_REASONS Para ver ejemplos de campos que Amazon Cognito no rellena para los eventos, consulte Ejemplo de eventos de Amazon Cognito. Amazon Cognito solo oculta algunos campos que suelen contener información de usuario, como contraseñas y tokens. Amazon Cognito no detecta ni oculta automáticamente la información de identificación personal que usted rellena en campos no privados de sus solicitudes. API
Los usuarios agrupan eventos
Amazon Cognito admite el registro de todas las acciones que aparecen en la página de acciones del grupo de usuarios como eventos en los archivos de CloudTrail registro. Amazon Cognito registra los eventos del grupo de usuarios CloudTrail como eventos de administración.
El eventType campo de una CloudTrail entrada de grupos de usuarios de Amazon Cognito indica si la aplicación ha realizado la solicitud a los API grupos de usuarios de Amazon Cognito o a un punto final que proporciona recursos para OpenID ConnectSAML, 2.0 o la interfaz de usuario alojada. APIlas solicitudes tienen un eventType de AwsApiCall y las solicitudes de punto final tienen un de. eventType AwsServiceEvent
Amazon Cognito registra las siguientes solicitudes de interfaz de usuario alojada en su interfaz de usuario alojada como eventos en. CloudTrail
Operaciones de interfaz de usuario alojadas en CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Operación | Descripción | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET, CognitoAuthentication |
Un usuario ve o envía credenciales a su Punto de conexión Login. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET, Beta_Authorize_GET |
Un usuario ve su Autorizar punto de conexión. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET, OAuth2Response_POST |
Un usuario envía un token de proveedor de identidad a su punto de conexión /oauth2/idpresponse. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST, Beta_SAML2Response_POST |
Un usuario envía una afirmación de SAML IdP a su punto final. /saml2/idpresponse |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
Un usuario introduce un nombre de usuario en su Punto de conexión Login y coincide con un Identificador de proveedor de identidad. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST, Beta_Token_POST |
Un usuario envía un código de autorización a su Punto de conexión de token. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET, Signup_POST |
Un usuario envía la información de registro a su punto de conexión /signup. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET, Confirm_POST |
Un usuario envía un código de confirmación en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
Un usuario envía una solicitud para volver a enviar un código de confirmación en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET, ForgotPassword_POST |
Un usuario envía una solicitud para restablecer su contraseña a su punto de conexión /forgotPassword. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET,
ConfirmForgotPassword_POST |
Un usuario envía un código a su punto de conexión /confirmForgotPassword que confirma su solicitud de ForgotPassword. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET, ResetPassword_POST |
Un usuario envía una nueva contraseña en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET, Mfa_POST |
Un usuario envía un código de autenticación multifactorial (MFA) en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET, MfaOption_POST |
El usuario elige su método preferido MFA en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET, MfaRegister_POST |
Un usuario envía un código de autenticación multifactorial (MFA) en la interfaz de usuario alojada al registrar el. MFA | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
Un usuario cierra sesión en su punto de conexión /logout. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
Un usuario cierra sesión en su punto de conexión /saml2/logout. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
Un usuario ve una página de error en la interfaz de usuario alojada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET, UserInfo_POST |
Un usuario o proveedor de identidad intercambia información con su userInfo punto final. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
Un usuario envía una confirmación basada en un enlace que Amazon Cognito envió en un mensaje de correo electrónico. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
Un usuario envía comentarios a Amazon Cognito sobre un evento de características de seguridad avanzadas. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
nota
Amazon Cognito registra las solicitudes específicas de un usuario, UserSub pero no UserName en los CloudTrail registros. Para encontrar un usuario para un determinado número ListUsersAPI, llame UserSub al y utilice un filtro para el sub.
Identity agrupa eventos
Eventos de datos
Amazon Cognito registra los siguientes eventos de Amazon Cognito Identity como eventos CloudTrail de datos. Los eventos de datos son API operaciones del plano de datos de gran volumen que CloudTrail no se registran de forma predeterminada. Se aplican cargos adicionales a los eventos de datos.
Para generar CloudTrail registros para estas API operaciones, debe activar los eventos de datos en su ruta y elegir selectores de eventos para los grupos de identidades de Cognito. Para obtener más información, consulte Registro de eventos de datos para registros de seguimiento en la Guía del usuario de AWS CloudTrail .
También puede añadir selectores de eventos de grupos de identidades a su ruta con el siguiente comando. CLI
aws cloudtrail put-event-selectors --trail-name<trail name>--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
Eventos de administración
Amazon Cognito registra el resto de las operaciones de los API grupos de identidades de Amazon Cognito como eventos de administración. CloudTrail registra las API operaciones de los eventos de administración de forma predeterminada.
Para obtener una lista de las API operaciones de los grupos de identidades de Amazon Cognito en las que Amazon Cognito inicia sesión CloudTrail, consulte la referencia de grupos de identidades de Amazon Cognito. API
Amazon Cognito Sync
Amazon Cognito registra todas las operaciones de Amazon Cognito API Sync como eventos de administración. Para obtener una lista de las API operaciones de Amazon Cognito Sync en las que Amazon Cognito inicia sesión CloudTrail, consulte la referencia de Amazon Cognito Sync. API
Análisis de CloudTrail eventos de Amazon Cognito con Amazon Logs Insights CloudWatch
Puede buscar y analizar sus CloudTrail eventos de Amazon Cognito con Amazon CloudWatch Logs Insights. Cuando configura su ruta para enviar eventos a CloudWatch Logs, CloudTrail envía solo los eventos que coinciden con la configuración de su ruta.
Para consultar o investigar sus CloudTrail eventos de Amazon Cognito, en la CloudTrail consola, asegúrese de seleccionar la opción Gestión de eventos en la configuración de la ruta para poder supervisar las operaciones de administración que se realizan en sus AWS recursos. También puede seleccionar la opción Eventos de Insights en la configuración de seguimiento si desea identificar errores, actividades inusuales o comportamiento inusual del usuario en la cuenta.
Consultas de ejemplo de Amazon Cognito
Puedes usar las siguientes consultas en la CloudWatch consola de Amazon.
Consultas generales
Buscar los 25 eventos de registro agregados más recientes.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"
Obtenga una lista de los 25 eventos de registro agregados recientemente que incluyen excepciones.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
Consultas de excepción y error
Busque los 25 eventos de registro agregados más recientes con el código de error NotAuthorizedException junto con el grupo de usuarios de Amazon Cognitosub.
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
Busque el número de registros con la sourceIPAddress y el eventName correspondiente.
filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName
Busque las 25 direcciones IP principales que desencadenaron un error de NotAuthorizedException.
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25
Encuentra las 25 direcciones IP principales que denominaron ForgotPasswordAPI.
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25
