の Amazon Cognito 情報 CloudTrail - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Amazon Cognito 情報 CloudTrail

CloudTrail を作成すると、 がオンになります AWS アカウント。Amazon Cognito でサポートされているイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベント履歴 の他の AWS サービスイベントとともにイベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「イベント履歴 を使用した CloudTrail イベントの表示」を参照してください。

Amazon Cognito のイベントなど、 AWS アカウントのイベントの継続的な記録については、証跡を作成します。 CloudTrail 証跡はログファイルを Amazon S3 バケットに配信します。デフォルトでは、コンソールで証跡を作成すると、すべての リージョンに証跡が適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うように他の AWS サービスを設定できます。詳細については、以下をご覧ください。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。同一性情報は次の判断に役立ちます。

  • リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストがロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して行われたかどうか。

  • リクエストが別の AWS サービスによって送信されたかどうか。

詳細については、CloudTrail 「userIdentity 要素」を参照してください。

内の機密データ AWS CloudTrail

ユーザープールと ID プールはユーザーデータを処理するため、Amazon Cognito は CloudTrail イベントの一部のプライベートフィールドを値 で隠しますHIDDEN_FOR_SECURITY_REASONS。Amazon Cognito がイベントに設定しないフィールドの例については、「Amazon Cognito のサインインイベントの概要」を参照してください。Amazon Cognito は、パスワードやトークンなど、一般的にユーザー情報を含む一部のフィールドだけを非表示にします。Amazon Cognito は、API リクエスト内の非公開フィールドに入力された個人識別情報の自動検出やマスキングを行いません。

Amazon Cognito ユーザープール

Amazon Cognito は、ユーザープールアクションページにリストされているすべてのアクションのログ記録を CloudTrail 、ログファイルのイベントとしてサポートします。Amazon Cognito は、ユーザープールイベントを管理イベント CloudTrail として にログ記録します。

Amazon Cognito ユーザープール CloudTrail エントリの eventTypeフィールドは、アプリが Amazon Cognito ユーザープール API に対してリクエストを行ったか、OpenID Connect、SAML 2.0、またはホストされた UI のリソースを提供するエンドポイントに対してリクエストを行ったかを示します。API リクエストには AwsApiCall の eventType があり、エンドポイントリクエストには AwsServiceEvent の eventType があります。

Amazon Cognito は、次のホストされた UI リクエストをホストされた UI に のイベントとしてログ記録します CloudTrail。

でのホストされた UI オペレーション CloudTrail
操作 説明
Login_GET, CognitoAuthentication ユーザーは ログインエンドポイント に認証情報を表示または送信します。
OAuth2_Authorize_GET, Beta_Authorize_GET ユーザーは 認可エンドポイント を表示します。
OAuth2Response_GET, OAuth2Response_POST ユーザーは IdP トークンを /oauth2/idpresponse エンドポイントに送信します。
SAML2Response_POST, Beta_SAML2Response_POST ユーザーは IdP SAML アサーションを /saml2/idpresponse エンドポイントに送信します。
Login_OIDC_SAML_POST ユーザーは、ログインエンドポイント でユーザー名を入力し、IdP identifier と一致させます。
Token_POST, Beta_Token_POST ユーザーは、認証コードを トークンエンドポイント に送信します。
Signup_GET, Signup_POST ユーザーは、サインアップ情報を /signup エンドポイントに送信します。
Confirm_GET, Confirm_POST ユーザーは、ホストされた UI で確認コードを送信します。
ResendCode_POST ユーザーは、ホストされた UI で確認コードの再送リクエストを送信します。
ForgotPassword_GET, ForgotPassword_POST ユーザーは、パスワードのリセットリクエストを /forgotPassword エンドポイントに送信します。
ConfirmForgotPassword_GET, ConfirmForgotPassword_POST ユーザーは、ForgotPassword リクエストを確認するコードを /confirmForgotPassword エンドポイントに送信します。
ResetPassword_GET, ResetPassword_POST ユーザーは、ホストされた UI で新しいパスワードを送信します。
Mfa_GET, Mfa_POST ユーザーは、ホストされた UI で多要素認証 (MFA) コードを送信します。
MfaOption_GET, MfaOption_POST ユーザーは、ホストされた UI で MFA の好みの方法を選択します。
MfaRegister_GET, MfaRegister_POST ユーザーは、MFA の登録時にホストされた UI で多要素認証 (MFA) コードを送信します。
Logout ユーザーは、/logout エンドポイントでサインアウトします。
SAML2Logout_POST ユーザーは、/saml2/logout エンドポイントでサインアウトします。
Error_GET ユーザーは、ホストされた UI でエラーページを表示します。
UserInfo_GET, UserInfo_POST ユーザーまたは IdP は、UserInfo エンドポイント と情報を交換します。
Confirm_With_Link_GET ユーザーは、Amazon Cognito が E メールメッセージで送信したリンクに基づいて確認を送信します。
Event_Feedback_GET ユーザーは、高度なセキュリティ機能イベントに関するフィードバックを Amazon Cognito に送信します。
注記

Amazon Cognito は、ユーザーに固有のリクエストの CloudTrail ログUserNameには記録しますUserSubが、 は記録しません。ListUsers API を呼び出し、sub のフィルターを使用することで、所定の UserSub のユーザーを見つけることができます。

Amazon Cognito アイデンティティプール

データイベント

Amazon Cognito は、次の Amazon Cognito ID イベントをデータイベント CloudTrail として にログ記録します。 データイベントは、デフォルトではログに CloudTrail 記録されない大量のデータプレーン API オペレーションです。追加の変更がイベントデータに適用されます。

これらの API オペレーションの CloudTrail ログを生成するには、証跡のデータイベントをアクティブ化し、Cognito ID プールのイベントセレクタを選択する必要があります。詳細については、AWS CloudTrail ユーザーガイドの「証跡へのデータイベントのログ記録」を参照してください。

次の CLI コマンドを使用して、ID プールのイベントセレクターをトレイルに追加することもできます。

aws cloudtrail put-event-selectors --trail-name <trail name> --advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"

管理イベント

Amazon Cognito は、Amazon Cognito ID プール API オペレーションの残りを管理イベントとしてログに記録します。デフォルトでは、管理イベント API オペレーションを CloudTrail ログに記録します。

Amazon Cognito が に記録する Amazon Cognito ID プール API オペレーションのリストについては CloudTrail、「Amazon Cognito ID プール API リファレンス」を参照してください。

Amazon Cognito Sync

Amazon Cognito は、すべての Amazon Cognito Sync API オペレーションを管理イベントとしてログ記録します。Amazon Cognito が に記録する Amazon Cognito Sync API オペレーションのリストについては CloudTrail、「Amazon Cognito Sync API リファレンス」を参照してください。