Nom d'utilisateur lors des événements de connexion CloudTrail - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Nom d'utilisateur lors des événements de connexion CloudTrail

IAM Identity Center émet le UserName champ situé sous l'additionalEventDataélément une fois par connexion réussie d'un utilisateur d'IAM Identity Center. La liste suivante décrit les deux événements de connexion concernés et les conditions dans lesquelles ces événements se produisent. Une seule des conditions peut être vraie lorsqu'un utilisateur se connecte.

  • CredentialChallenge

    • Quand CredentialType est « PASSWORD » — s'applique à l'authentification par mot de passe avec AWS Directory Service ou Répertoire IAM Identity Center.

    • Quand CredentialType est « EMAIL_OTP » : s'applique uniquement Répertoire IAM Identity Center lorsqu'un utilisateur créé à l'aide d'un appel d'CreateUserAPI tente de se connecter pour la première fois et qu'il reçoit un mot de passe à usage unique pour se connecter une fois avec ce mot de passe.

  • UserAuthentication

    • Quand CredentialType est « EXTERNAL_IDP » — s'applique à l'authentification avec un IdP externe.

La valeur de UserName pour les authentifications réussies est la suivante :

  • Lorsque la source d'identité est un IdP externe, la valeur est égale à la valeur de l'nameIDassertion SAML entrante. Cette valeur est égale au UserName champ du Répertoire IAM Identity Center.

  • Lorsque la source d'identité est un Répertoire IAM Identity Center, la valeur émise est égale au UserName champ de ce répertoire.

  • Lorsque la source d'identité est le AWS Directory Service, la valeur émise est égale au nom d'utilisateur saisi par l'utilisateur lors de l'authentification. Par exemple, un utilisateur qui possède le nom d'utilisateur anyuser@company.com peut s'authentifier avec anyuseranyuser@company.com, oucompany.com/anyuser, et dans chaque cas, la valeur saisie est émise CloudTrail respectivement.

Masquage de sécurité en cas de tentatives de nom d'utilisateur incorrectes

Le UserName champ contient la chaîne HIDDEN_DUE_TO_SECURITY_REASONS lorsque l'événement enregistré est un échec de connexion à la console dû à une saisie incorrecte du nom d'utilisateur. CloudTrail n'enregistre pas le contenu dans ce cas car le texte peut contenir des informations sensibles, comme décrit dans les exemples suivants :

  • Un utilisateur tape par erreur un mot de passe dans le champ de nom d'utilisateur.

  • Un utilisateur tape accidentellement le nom d'un compte de messagerie personnelle, un identifiant de connexion bancaire ou un autre ID privé.

Astuce

Nous vous recommandons d'utiliser userId et identityStoreArn pour identifier l'utilisateur à l'origine des CloudTrail événements IAM Identity Center. Si vous devez utiliser le userName champ, vous pouvez utiliser l'additionalEventDataélément userName under the qui est émis une fois par connexion réussie.

Pour plus d'informations sur la façon dont vous pouvez utiliser le UserName champ, reportez-vous àCorrélation des événements utilisateur au sein d'une même session utilisateur.