CloudTrail 内の Amazon Cognito 情報 - Amazon Cognito

CloudTrail 内の Amazon Cognito 情報

CloudTrail は、アカウント作成時に AWS で有効になります。Amazon Cognito でサポートされているイベントアクティビティが発生すると、そのアクティビティは [Event history] (イベント履歴) で AWS のその他サービスのイベントと共に CloudTrail イベントに記録されます。AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、CloudTrail イベント履歴でのイベントの表示を参照してください。

Amazon Cognito のイベントなどの AWS アカウントのイベントの継続的な記録については、証跡を作成します。CloudTrail の証跡がログファイルを Amazon S3 バケットに配信します。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべての リージョンに適用されます。追跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。詳細については、次を参照してください。

Amazon Cognito ユーザープール

Amazon Cognito は、[User pool actions] (ユーザープールのアクション) ページにリストされているすべてのアクションを、イベントとして CloudTrail ログファイルに記録することをサポートします。また、Amazon Cognito は次のリクエストタイプを CloudTrail のイベントとしてホストされた UI に記録します。

Cloudtrail でのホスト型 UI オペレーション
Operation 説明
Login_GET, CognitoAuthentication ユーザーは ログインエンドポイント に認証情報を表示または送信します。
OAuth2_Authorize_GET ユーザーは 認可エンドポイント を表示します。
OAuth2Response_GET, OAuth2Response_POST ユーザーは IdP トークンを /oauth2/idpresponse エンドポイントに送信します。
SAML2Response_POST ユーザーは IdP SAML アサーションを /saml2/idpresponse エンドポイントに送信します。
Login_OIDC_SAML_POST ユーザーは、ログインエンドポイント でユーザー名を入力し、IdP identifier と一致させます。
Token_POST ユーザーは、認証コードを トークンエンドポイント に送信します。
Signup_GET, Signup_POST ユーザーは、サインアップ情報を /signup エンドポイントに送信します。
Confirm_GET, Confirm_POST ユーザーは、ホストされた UI で確認コードを送信します。
ResendCode_POST ユーザーは、ホストされた UI で確認コードの再送リクエストを送信します。
ForgotPassword_GET, ForgotPassword_POST ユーザーは、パスワードのリセットリクエストを /forgotPassword エンドポイントに送信します。
ConfirmForgotPassword_GET, ConfirmForgotPassword_POST ユーザーは、ForgotPassword リクエストを確認するコードを /confirmForgotPassword エンドポイントに送信します。
ResetPassword_GET, ResetPassword_POST ユーザーは、ホストされた UI で新しいパスワードを送信します。
Mfa_GET, Mfa_POST ユーザーは、ホストされた UI で多要素認証 (MFA) コードを送信します。
MfaOption_GET, MfaOption_POST ユーザーは、ホストされた UI で MFA の好みの方法を選択します。
Logout ユーザーは、/logout エンドポイントでサインアウトします。
SAML2Logout_POST ユーザーは、/saml2/logout エンドポイントでサインアウトします。
Error_GET ユーザーは、ホストされた UI でエラーページを表示します。
UserInfo_GET, UserInfo_POST ユーザーまたは IdP は、UserInfo エンドポイント と情報を交換します。
Confirm_With_Link_GET ユーザーは、Amazon Cognito が E メールメッセージで送信したリンクに基づいて確認を送信します。
Event_Feedback_GET ユーザーは、高度なセキュリティ機能イベントに関するフィードバックを Amazon Cognito に送信します。
注記

ユーザー固有のリクエストについて、Amazon Cognito は CloudTrail ログに UserSub を記録しますが、UserName は記録しません。ListUsers API を呼び出し、sub のフィルターを使用することで、所定の UserSub のユーザーを見つけることができます。

Amazon Cognito フェデレーティッド ID

Amazon Cognito Sync

Amazon Cognito は、[Amazon Cognito Sync actions] (Amazon Cognito Sync アクション) ページにリストされているすべてのアクションをイベントとして CloudTrail ログファイルにログすることをサポートしています。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。同一性情報は次の判断に役立ちます。

  • リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

  • リクエストが、別の AWS のサービスによって送信されたかどうか。

詳細については、CloudTrail userIdentity 要素を参照してください。