Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accesso ad Amazon Cognito AWS CloudTrail
Amazon Cognito è integrato con AWS CloudTrail un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon Cognito. CloudTrail acquisisce un sottoinsieme di API chiamate per Amazon Cognito come eventi, incluse le chiamate dalla console Amazon Cognito e le chiamate in codice alle operazioni di Amazon Cognito. API Se crei un trail, puoi scegliere di distribuire CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Amazon Cognito. Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta effettuata ad Amazon Cognito, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.
Per ulteriori informazioni CloudTrail, incluso come configurarlo e attivarlo, consulta la Guida per l'AWS CloudTrail utente.
Puoi anche creare CloudWatch allarmi Amazon per CloudTrail eventi specifici. Ad esempio, puoi impostare l'attivazione CloudWatch di un allarme se viene modificata la configurazione di un pool di identità. Per ulteriori informazioni, consulta Creazione di CloudWatch allarmi per CloudTrail eventi: esempi.
Argomenti
Informazioni inviate da Amazon Cognito a CloudTrail
CloudTrail si attiva quando crei il tuo Account AWS. Quando si verifica un'attività di evento supportata in Amazon Cognito, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi. Puoi visualizzare, cercare e scaricare eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta Visualizzazione degli eventi con cronologia degli CloudTrail eventi.
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Amazon Cognito, crea un percorso. Un CloudTrail trail invia i file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un trail nella console, il trail sarà valido in tutte le Regioni . Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consultare:
Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
-
Se la richiesta è stata effettuata con credenziali root o IAM utente.
-
Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
-
Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, vedete l'CloudTrail userIdentity elemento.
Dati riservati in AWS CloudTrail
Poiché i pool di utenti e i pool di identità elaborano i dati degli utenti, Amazon Cognito oscura alcuni campi privati dei tuoi CloudTrail eventi con il valore. HIDDEN_FOR_SECURITY_REASONS
Per esempi di campi che non vengono compilati da Amazon Cognito negli eventi, consulta Esempi di eventi Amazon Cognito. Amazon Cognito oscura solo alcuni campi che contengono di solito informazioni utente, come password e token. Amazon Cognito non rileva o maschera automaticamente le informazioni di identificazione personale che compili in campi non privati nelle tue richieste. API
Eventi dei pool di utenti
Amazon Cognito supporta la registrazione di tutte le azioni elencate nella pagina delle azioni del pool di utenti come eventi nei CloudTrail file di registro. Amazon Cognito registra gli eventi del pool di utenti CloudTrail come eventi di gestione.
Il eventType
campo in una CloudTrail voce relativa ai pool di utenti di Amazon Cognito indica se l'app ha inviato la richiesta ai API pool di utenti di Amazon Cognito o a un endpoint che fornisce risorse per OpenID SAML Connect 2.0 o l'interfaccia utente ospitata. APIle richieste hanno un eventType
of AwsApiCall
e le richieste endpoint hanno un of. eventType
AwsServiceEvent
Amazon Cognito registra le seguenti richieste di interfaccia utente ospitata nell'interfaccia utente ospitata come eventi in. CloudTrail
Operazioni dell'interfaccia utente ospitate in CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Operazione | Descrizione | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET , CognitoAuthentication |
Un utente visualizza o invia le credenziali al tuo Endpoint Login. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET , Beta_Authorize_GET |
Un utente visualizza il tuo Endpoint Authorize. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET , OAuth2Response_POST |
Un utente invia un token IdP al tuo endpoint /oauth2/idpresponse . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST , Beta_SAML2Response_POST |
Un utente invia un'asserzione SAML IdP al tuo endpoint. /saml2/idpresponse |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
Un utente specifica un nome utente nel tuo Endpoint Login e lo abbina con un identificatore IdP. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST , Beta_Token_POST |
Un utente invia un codice di autorizzazione al tuo Endpoint Token. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET , Signup_POST |
Un utente invia le informazioni di registrazione al tuo endpoint /signup . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET , Confirm_POST |
Un utente invia un codice di conferma nell'interfaccia utente ospitata. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
Un utente invia una richiesta per inviare nuovamente un codice di conferma nell'interfaccia utente ospitata. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET , ForgotPassword_POST |
Un utente invia una richiesta per reimpostare la relativa password sul tuo endpoint /forgotPassword . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET ,
ConfirmForgotPassword_POST |
Un utente invia un codice al tuo endpoint /confirmForgotPassword che conferma la sua richiesta ForgotPassword . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET , ResetPassword_POST |
Un utente invia una nuova password nell'interfaccia utente ospitata. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET , Mfa_POST |
Un utente invia un codice di autenticazione a più fattori (MFA) nell'interfaccia utente ospitata. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET , MfaOption_POST |
Un utente sceglie il metodo preferito MFA nell'interfaccia utente ospitata. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET , MfaRegister_POST |
Un utente invia un codice di autenticazione a più fattori (MFA) nell'interfaccia utente ospitata al momento della registrazione di. MFA | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
Un utente si disconnette dal tuo endpoint /logout . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
Un utente si disconnette dal tuo endpoint /saml2/logout . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
Un utente visualizza una pagina di errore nell'interfaccia utente ospitata. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET , UserInfo_POST |
Un utente o un IdP scambia informazioni con il tuo userInfo endpoint. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
Un utente invia una conferma in base a un link inviato da Amazon Cognito in un messaggio e-mail. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
Un utente invia un feedback ad Amazon Cognito in merito a un evento delle funzionalità di sicurezza avanzata. |
Nota
Amazon Cognito registraUserSub
, ma non UserName
nei CloudTrail log, le richieste specifiche di un utente. Puoi trovare un utente per un determinato utente UserSub
chiamando e utilizzando un filtro per sub. ListUsers
API
Eventi di pool di identità
Eventi di dati
Amazon Cognito registra i seguenti eventi di Amazon Cognito Identity come eventi di dati. CloudTrail Gli eventi relativi ai dati sono API operazioni sul piano dati ad alto volume che CloudTrail non vengono registrate per impostazione predefinita. Per gli eventi di dati sono previsti costi aggiuntivi.
Per generare CloudTrail registri per queste API operazioni, devi attivare gli eventi relativi ai dati nel tuo percorso e scegliere i selettori di eventi per i pool di identità di Cognito. Per ulteriori informazioni, consulta Registrazione di eventi di dati per i percorsi nella Guida per l'utente di AWS CloudTrail .
Puoi anche aggiungere selettori di eventi dei pool di identità al tuo percorso con il seguente comando. CLI
aws cloudtrail put-event-selectors --trail-name
<trail name>
--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
Eventi di gestione
Amazon Cognito registra il resto delle operazioni dei pool di identità di Amazon Cognito come eventi di gestione. API CloudTrail registra le operazioni relative agli eventi di gestione per impostazione predefinita. API
Per un elenco delle API operazioni dei pool di identità di Amazon Cognito a cui Amazon Cognito accede, consulta la pagina di riferimento CloudTrail per i pool di identità di Amazon Cognito. API
Amazon Cognito Sync
Amazon Cognito registra tutte le operazioni di Amazon Cognito API Sync come eventi di gestione. Per un elenco delle API operazioni di Amazon Cognito Sync a cui Amazon Cognito accede, consulta Amazon CloudTrail Cognito Sync Reference. API
Analisi degli eventi di Amazon CloudTrail Cognito con Amazon CloudWatch Logs Insights
Puoi cercare e analizzare i tuoi CloudTrail eventi di Amazon Cognito con Amazon CloudWatch Logs Insights. Quando configuri il percorso per inviare eventi a CloudWatch Logs, CloudTrail invia solo gli eventi che corrispondono alle impostazioni del percorso.
Per interrogare o ricercare CloudTrail gli eventi di Amazon Cognito, nella CloudTrail console, assicurati di selezionare l'opzione Eventi di gestione nelle impostazioni del percorso in modo da poter monitorare le operazioni di gestione eseguite sulle tue AWS risorse. Se lo desideri, puoi selezionare l'opzione Eventi Insights nelle impostazioni del percorso per identificare errori, attività insolite o comportamenti insoliti dell'utente nell'account.
Query di Amazon Cognito di esempio
Puoi utilizzare le seguenti query nella CloudWatch console Amazon.
Query generali
Trova i 25 log eventi aggiunti più di recente.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"
Ottieni un elenco dei 25 eventi di log aggiunti più di recente che includono eccezioni.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
Query di eccezioni ed errori
Trova i 25 eventi di log aggiunti più di recente con codice di errore NotAuthorizedException
insieme al bacino d'utenza di Amazon Cognito sub
.
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
Trova il numero di record con sourceIPAddress
e eventName
corrispondente.
filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName
Trova i primi 25 indirizzi IP che hanno attivato un errore NotAuthorizedException
.
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25
Trova i primi 25 indirizzi IP che hanno chiamato. ForgotPassword
API
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25