Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Amazon Cognito masuk AWS CloudTrail
Amazon Cognito terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Amazon Cognito. CloudTrail menangkap subset API panggilan untuk Amazon Cognito sebagai peristiwa, termasuk panggilan dari konsol Amazon Cognito dan dari panggilan kode ke operasi Amazon Cognito. API Jika Anda membuat jejak, Anda dapat memilih untuk mengirimkan CloudTrail acara ke bucket Amazon S3, termasuk acara untuk Amazon Cognito. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam Riwayat acara. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Amazon Cognito, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, termasuk cara mengonfigurasi dan mengaktifkannya, lihat Panduan AWS CloudTrail Pengguna.
Anda juga dapat membuat CloudWatch alarm Amazon untuk CloudTrail acara tertentu. Misalnya, Anda dapat mengatur CloudWatch untuk memicu alarm jika konfigurasi kumpulan identitas diubah. Untuk informasi selengkapnya, lihat Membuat CloudWatch alarm untuk CloudTrail acara: Contoh.
Topik
Informasi yang dikirimkan Amazon Cognito CloudTrail
CloudTrail dihidupkan saat Anda membuat Akun AWS. Ketika aktivitas peristiwa yang didukung terjadi di Amazon Cognito, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat Acara. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Melihat peristiwa dengan riwayat CloudTrail acara.
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk Amazon Cognito, buat jejak. CloudTrail Jejak mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak diterapkan ke semua Region. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat:
Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut ini:
-
Apakah permintaan dibuat dengan root atau kredensi IAM pengguna.
-
Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
-
Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi lebih lanjut, lihat CloudTrail userIdentity elemen.
Data rahasia di AWS CloudTrail
Karena kumpulan pengguna dan kumpulan identitas memproses data pengguna, Amazon Cognito mengaburkan beberapa bidang pribadi di acara Anda CloudTrail dengan nilainya. HIDDEN_FOR_SECURITY_REASONS
Untuk contoh bidang yang tidak diisi Amazon Cognito ke acara, lihat. Contoh acara Amazon Cognito Amazon Cognito hanya mengaburkan beberapa bidang yang biasanya berisi informasi pengguna, seperti kata sandi dan token. Amazon Cognito tidak melakukan deteksi otomatis atau penyembunyian informasi identifikasi pribadi yang Anda isi ke bidang non-pribadi dalam permintaan Anda. API
Acara kumpulan pengguna
Amazon Cognito mendukung pencatatan untuk semua tindakan yang tercantum di halaman tindakan kumpulan Pengguna sebagai peristiwa dalam file CloudTrail log. Amazon Cognito mencatat peristiwa kumpulan pengguna ke CloudTrail acara manajemen.
eventType
Bidang dalam CloudTrail entri kumpulan pengguna Amazon Cognito memberi tahu Anda apakah aplikasi Anda membuat permintaan ke API kumpulan pengguna Amazon Cognito atau ke titik akhir yang menyajikan sumber daya untuk OpenID ConnectSAML, 2.0, atau UI yang dihosting. APIpermintaan memiliki permintaan eventType
of AwsApiCall
dan titik akhir memiliki eventType
of. AwsServiceEvent
Amazon Cognito mencatat permintaan UI yang dihosting berikut ke UI yang dihosting sebagai acara di. CloudTrail
Operasi UI yang dihosting di CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Operasi | Deskripsi | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET , CognitoAuthentication |
Pengguna melihat atau mengirimkan kredensi ke Anda. Titik akhir masuk | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET , Beta_Authorize_GET |
Seorang pengguna melihat AndaOtorisasi titik akhir. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET , OAuth2Response_POST |
Pengguna mengirimkan token iDP ke /oauth2/idpresponse titik akhir Anda. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST , Beta_SAML2Response_POST |
Seorang pengguna mengirimkan pernyataan SAML iDP ke titik akhir Anda. /saml2/idpresponse |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
Pengguna memasukkan nama pengguna di Anda Titik akhir masuk dan cocok dengan pengenal IDP. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST , Beta_Token_POST |
Seorang pengguna mengirimkan kode otorisasi ke Anda. Titik akhir token | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET , Signup_POST |
Pengguna mengirimkan informasi pendaftaran ke titik akhir Anda/signup . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET , Confirm_POST |
Pengguna mengirimkan kode konfirmasi di UI yang dihosting. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
Pengguna mengirimkan permintaan untuk mengirim ulang kode konfirmasi di UI yang dihosting. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET , ForgotPassword_POST |
Pengguna mengirimkan permintaan untuk mengatur ulang kata sandi mereka ke titik /forgotPassword akhir Anda. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET ,
ConfirmForgotPassword_POST |
Pengguna mengirimkan kode ke /confirmForgotPassword titik akhir Anda yang mengonfirmasi permintaan merekaForgotPassword . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET , ResetPassword_POST |
Pengguna mengirimkan kata sandi baru di UI yang dihosting. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET , Mfa_POST |
Pengguna mengirimkan kode otentikasi (MFA) multi-faktor di UI yang dihosting. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET , MfaOption_POST |
Seorang pengguna memilih metode pilihan mereka untuk MFA di UI yang dihosting. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET , MfaRegister_POST |
Seorang pengguna mengirimkan kode otentikasi multi-faktor (MFA) di UI yang dihosting saat mendaftarkan. MFA | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
Seorang pengguna keluar di /logout titik akhir Anda. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
Seorang pengguna keluar di /saml2/logout titik akhir Anda. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
Pengguna melihat halaman kesalahan di UI yang dihosting. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET , UserInfo_POST |
Pengguna atau IDP bertukar informasi dengan Anda. userInfo titik akhir | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
Pengguna mengirimkan konfirmasi berdasarkan tautan yang dikirim Amazon Cognito dalam pesan email. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
Pengguna mengirimkan umpan balik ke Amazon Cognito tentang peristiwa fitur keamanan tingkat lanjut. |
catatan
Amazon Cognito mencatat UserSub
tetapi tidak UserName
dalam CloudTrail log untuk permintaan yang khusus untuk pengguna. Anda dapat menemukan pengguna untuk diberikan UserSub
dengan memanggil ListUsers
API, dan menggunakan filter untuk sub.
Acara kolam identitas
Peristiwa data
Amazon Cognito mencatat peristiwa Identitas Amazon Cognito berikut sebagai peristiwa data CloudTrail . Peristiwa data adalah API operasi bidang data volume tinggi yang CloudTrail tidak masuk secara default. Biaya tambahan berlaku untuk peristiwa data.
Untuk menghasilkan CloudTrail log untuk API operasi ini, Anda harus mengaktifkan peristiwa data di jejak Anda dan memilih pemilih acara untuk kumpulan identitas Cognito. Untuk informasi lebih lanjut, lihat Peristiwa Pencatatan Data untuk Pelacakan dalam AWS CloudTrail Panduan Pengguna.
Anda juga dapat menambahkan pemilih acara kumpulan identitas ke jejak Anda dengan CLI perintah berikut.
aws cloudtrail put-event-selectors --trail-name
<trail name>
--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
Acara manajemen
Amazon Cognito mencatat sisa operasi kumpulan API identitas Amazon Cognito sebagai peristiwa manajemen. CloudTrail mencatat API operasi acara manajemen secara default.
Untuk daftar API operasi kumpulan identitas Amazon Cognito yang dicatat oleh Amazon Cognito, lihat Referensi CloudTrail kumpulan identitas Amazon Cognito. API
Sinkronisasi Amazon Cognito
Amazon Cognito mencatat semua operasi API Sinkronisasi Amazon Cognito sebagai peristiwa manajemen. Untuk daftar API operasi Sinkronisasi Amazon Cognito yang dicatat oleh Amazon Cognito, lihat Referensi CloudTrail Sinkronisasi Amazon Cognito. API
Menganalisis CloudTrail peristiwa Amazon Cognito dengan Amazon CloudWatch Logs Insights
Anda dapat mencari dan menganalisis CloudTrail peristiwa Amazon Cognito Anda dengan Amazon CloudWatch Logs Insights. Saat Anda mengonfigurasi jejak Anda untuk mengirim peristiwa ke CloudWatch Log, CloudTrail kirimkan hanya peristiwa yang sesuai dengan pengaturan jejak Anda.
Untuk menanyakan atau meneliti CloudTrail peristiwa Amazon Cognito Anda, di CloudTrail konsol, pastikan Anda memilih opsi Pengelolaan peristiwa di pengaturan jejak sehingga Anda dapat memantau operasi manajemen yang dilakukan pada sumber daya Anda AWS . Secara opsional, Anda dapat memilih opsi Insights events di setelan jejak saat Anda ingin mengidentifikasi kesalahan, aktivitas yang tidak biasa, atau perilaku pengguna yang tidak biasa di akun Anda.
Contoh kueri Amazon Cognito
Anda dapat menggunakan kueri berikut di CloudWatch konsol Amazon.
Pertanyaan umum
Temukan 25 log acara yang paling baru ditambahkan.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"
Dapatkan daftar 25 peristiwa log yang paling baru ditambahkan yang menyertakan pengecualian.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
Kueri Pengecualian dan Kesalahan
Menemukan 25 log acara yang paling baru ditambahkan dengan kode kesalahan NotAuthorizedException
bersama dengan kolam pengguna Amazon Cognito sub
.
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
Menemukan jumlah catatan dengan sourceIPAddress
dan sesuai eventName
.
filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName
Menemukan 25 alamat IP teratas yang memicu kesalahan NotAuthorizedException
.
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25
Temukan 25 alamat IP teratas yang disebut ForgotPassword
API.
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25