Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Amazon Cognito está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Amazon Cognito. CloudTrail captura un subconjunto de llamadas a la API de Amazon Cognito como eventos, incluidas las llamadas desde la consola de Amazon Cognito y las llamadas en código a las operaciones de la API de Amazon Cognito. Si crea una ruta, puede optar por enviar CloudTrail los eventos a un bucket de Amazon S3, incluidos los eventos de Amazon Cognito. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el historial de eventos. Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Amazon Cognito, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, incluido cómo configurarlo y activarlo, consulte la Guía del AWS CloudTrail usuario.
También puedes crear CloudWatch alarmas de Amazon para CloudTrail eventos específicos. Por ejemplo, puede configurar CloudWatch para que active una alarma si se cambia la configuración de un grupo de identidades. Para obtener más información, consulte Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos.
Temas
Información que Amazon Cognito envía a CloudTrail
CloudTrail se activa al crear su. Cuenta de AWSCuando se produce una actividad de eventos admitida en Amazon Cognito, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Puede ver, buscar y descargar los eventos recientes en su AWS cuenta. Para obtener más información, consulta Cómo ver eventos con el historial de CloudTrail eventos.
Para obtener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de Amazon Cognito, cree una ruta. Un CloudTrail rastro envía los archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte:
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:
-
Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.
-
Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
-
Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el elemento userIdentity de CloudTrail .
Datos confidenciales en AWS CloudTrail
Dado que los grupos de usuarios y los grupos de identidades procesan los datos de los usuarios, Amazon Cognito oculta algunos campos privados de sus CloudTrail eventos con el valor. HIDDEN_FOR_SECURITY_REASONS Para ver ejemplos de campos que Amazon Cognito no rellena para los eventos, consulte Ejemplo de evento de Amazon Cognito. Amazon Cognito solo oculta algunos campos que suelen contener información de usuario, como contraseñas y tokens. Amazon Cognito no detecta ni oculta automáticamente la información de identificación personal que usted rellena en campos no privados en las solicitudes de la API.
Eventos de grupos de usuarios
Amazon Cognito admite el registro de todas las acciones que aparecen en la página de acciones del grupo de usuarios como eventos en los archivos de CloudTrail registro. Amazon Cognito registra los eventos del grupo de usuarios CloudTrail como eventos de administración.
El eventType campo de una CloudTrail entrada de grupos de usuarios de Amazon Cognito indica si la aplicación realizó la solicitud a la API de grupos de usuarios de Amazon Cognito o a un punto final que proporciona recursos para OpenID Connect, SAML 2.0 o páginas de inicio de sesión gestionadas. Las solicitudes de la API tienen un eventType de AwsApiCall y las solicitudes de punto de conexión tienen un eventType de AwsServiceEvent.
Amazon Cognito registra las siguientes solicitudes en sus servicios de inicio de sesión gestionado como eventos en. CloudTrail
| Operación | Descripción |
|---|---|
Login_GET, CognitoAuthentication |
Un usuario ve o envía credenciales a su Punto de conexión Login. |
OAuth2_Authorize_GET,
Beta_Authorize_GET |
Un usuario ve su Autorizar punto de conexión. |
OAuth2Response_GET,
OAuth2Response_POST |
Un usuario envía un token de proveedor de identidad a su punto de conexión /oauth2/idpresponse. |
SAML2Response_POST,
Beta_SAML2Response_POST |
Un usuario envía una afirmación de SAML de proveedor de identidad a su punto de conexión /saml2/idpresponse. |
Login_OIDC_SAML_POST |
Un usuario introduce un nombre de usuario en su Punto de conexión Login y coincide con un Identificador de proveedor de identidad. |
Token_POST, Beta_Token_POST |
Un usuario envía un código de autorización a su Punto de conexión de token. |
Signup_GET, Signup_POST |
Un usuario envía la información de registro a su punto de conexión /signup. |
Confirm_GET, Confirm_POST |
Un usuario envía un código de confirmación en la interfaz de usuario alojada. |
ResendCode_POST |
Un usuario envía una solicitud para volver a enviar un código de confirmación en la interfaz de usuario alojada. |
ForgotPassword_GET,
ForgotPassword_POST |
Un usuario envía una solicitud para restablecer su contraseña a su punto de conexión /forgotPassword. |
ConfirmForgotPassword_GET,
ConfirmForgotPassword_POST |
Un usuario envía un código a su punto de conexión /confirmForgotPassword que confirma su solicitud de ForgotPassword. |
ResetPassword_GET, ResetPassword_POST |
Un usuario envía una nueva contraseña en la interfaz de usuario alojada. |
Mfa_GET, Mfa_POST |
Un usuario envía un código de autenticación multifactor (MFA) en la IU alojada. |
MfaOption_GET, MfaOption_POST |
El usuario elige su método preferido para la MFA en la interfaz de usuario alojada. |
MfaRegister_GET, MfaRegister_POST |
Un usuario envía un código de autenticación multifactor (MFA) en la IU alojada al registrar la MFA. |
Logout |
Un usuario cierra sesión en su punto de conexión /logout. |
SAML2Logout_POST |
Un usuario cierra sesión en su punto de conexión /saml2/logout. |
Error_GET |
Un usuario ve una página de error en la interfaz de usuario alojada. |
UserInfo_GET, UserInfo_POST |
Un usuario o proveedor de identidad intercambia información con su El punto de conexión userInfo. |
Confirm_With_Link_GET |
Un usuario envía una confirmación basada en un enlace que Amazon Cognito envió en un mensaje de correo electrónico. |
Event_Feedback_GET |
Un usuario envía comentarios a Amazon Cognito sobre un evento de características de seguridad avanzadas. |
nota
Amazon Cognito registra las solicitudes específicas de un usuario, UserSub pero no UserName en los CloudTrail registros. Si desea buscar un usuario para un UserSub determinado, llame a la API de ListUsers y utilice un filtro para sub.
Eventos de grupos de identidades
Eventos de datos
Amazon Cognito registra los siguientes eventos de Amazon Cognito Identity como eventos CloudTrail de datos. Los eventos de datos son operaciones de API del plano de datos de gran volumen que CloudTrail no se registran de forma predeterminada. Se aplican cargos adicionales a los eventos de datos.
Para generar CloudTrail registros para estas operaciones de API, debe activar los eventos de datos en su seguimiento y elegir selectores de eventos para los grupos de identidades de Cognito. Para obtener más información, consulte Registro de eventos de datos para registros de seguimiento en la Guía del usuario de AWS CloudTrail .
También puede añadir selectores de eventos de grupos de identidades a su registro de seguimiento con el siguiente comando de la CLI.
aws cloudtrail put-event-selectors --trail-name <trail name> --advanced-event-selectors \
"{\
\"Name\": \"Cognito Selector\",\
\"FieldSelectors\": [\
{\
\"Field\": \"eventCategory\",\
\"Equals\": [\
\"Data\"\
]\
},\
{\
\"Field\": \"resources.type\",\
\"Equals\": [\
\"AWS::Cognito::IdentityPool\"\
]\
}\
]\
}"Eventos de administración
Amazon Cognito registra el resto de las operaciones de la API de los grupos de identidades de Amazon Cognito como eventos de administración. CloudTrail registra las operaciones de la API de eventos de administración de forma predeterminada.
Para obtener una lista de las operaciones de la API de grupos de identidades de Amazon Cognito en las que Amazon Cognito inicia sesión, consulte la referencia de CloudTrail la API de grupos de identidades de Amazon Cognito.
Amazon Cognito Sync
Amazon Cognito registra todas las operaciones de la API de Amazon Cognito Sync como eventos de administración. Para obtener una lista de las operaciones de la API Amazon Cognito Sync en las que Amazon Cognito inicia sesión, consulte la referencia de CloudTrail la API Amazon Cognito Sync.
Análisis de CloudTrail eventos de Amazon Cognito con Amazon Logs Insights CloudWatch
Puede buscar y analizar sus CloudTrail eventos de Amazon Cognito con Amazon CloudWatch Logs Insights. Cuando configura su ruta para enviar eventos a CloudWatch Logs, CloudTrail envía solo los eventos que coinciden con la configuración de su ruta.
Para consultar o investigar sus CloudTrail eventos de Amazon Cognito, en la CloudTrail consola, asegúrese de seleccionar la opción Gestión de eventos en la configuración de la ruta para poder supervisar las operaciones de administración que se realizan en sus AWS recursos. También puede seleccionar la opción Eventos de Insights en la configuración de seguimiento si desea identificar errores, actividades inusuales o comportamiento inusual del usuario en la cuenta.
Consultas de ejemplo de Amazon Cognito
Puedes usar las siguientes consultas en la CloudWatch consola de Amazon.
Consultas generales
Buscar los 25 eventos de registro agregados más recientes.
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"Obtenga una lista de los 25 eventos de registro agregados recientemente que incluyen excepciones.
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/Consultas de excepción y error
Busque los 25 eventos de registro agregados más recientes con el código de error NotAuthorizedException junto con el grupo de usuarios de Amazon Cognitosub.
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"Busque el número de registros con la sourceIPAddress y el eventName correspondiente.
filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventNameBusque las 25 direcciones IP principales que desencadenaron un error de NotAuthorizedException.
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25Busque las 25 direcciones IP principales que llamaron a la API de ForgotPassword.
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25