翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Amazon Cognito 情報 CloudTrail
CloudTrail を作成すると、 がオンになります AWS アカウント。Amazon Cognito でサポートされているイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベント履歴 の他の AWS サービスイベントとともにイベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「イベント履歴 を含む CloudTrail イベントの表示」を参照してください。
Amazon Cognito のイベントなど、 AWS アカウント内のイベントの継続的な記録については、証跡を作成します。 CloudTrail 証跡はログファイルを Amazon S3 バケットに配信します。デフォルトでは、コンソールで証跡を作成すると、すべての リージョンに証跡が適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたイベントデータをより詳細に分析し、それに基づいて行動するように、他の AWS サービスを設定できます。詳細については、以下をご覧ください。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:
-
リクエストがルート認証情報とIAMユーザー認証情報のどちらを使用して行われたか。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが別の AWS サービスによって行われたかどうか。
詳細については、CloudTrail userIdentity 「」要素を参照してください。
の機密データ AWS CloudTrail
ユーザープールと ID プールはユーザーデータを処理するため、Amazon Cognito は CloudTrail イベント内の一部のプライベートフィールドを値 で隠しますHIDDEN_FOR_SECURITY_REASONS。Amazon Cognito がイベントに設定しないフィールドの例については、「Amazon Cognito のサインインイベントの概要」を参照してください。Amazon Cognito は、パスワードやトークンなど、一般的にユーザー情報を含む一部のフィールドだけを非表示にします。Amazon Cognito は、APIリクエスト内の非プライベートフィールドに入力した個人識別情報の自動検出またはマスキングを実行しません。
Amazon Cognito ユーザープール
Amazon Cognito は、ユーザープールアクションページにリストされているすべてのアクションのログ記録を CloudTrail 、ログファイルのイベントとしてサポートします。Amazon Cognito は、ユーザープールイベントを管理イベント CloudTrail として に記録します。
Amazon Cognito ユーザープール CloudTrail エントリの eventTypeフィールドは、アプリケーションが Amazon Cognito ユーザープールAPIまたは OpenID Connect、2.0、またはホストされた UI SAML のリソースを提供するエンドポイントにリクエストを行ったかどうかを示します。API リクエストには eventType の AwsApiCallがあり、エンドポイントリクエストには eventTypeの がありますAwsServiceEvent。
Amazon Cognito は、以下のホストされた UI リクエストを のイベントとしてホストされた UI に記録します CloudTrail。
でのホストされた UI オペレーション CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 操作 | 説明 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET, CognitoAuthentication |
ユーザーは ログインエンドポイント に認証情報を表示または送信します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET, Beta_Authorize_GET |
ユーザーは 認可エンドポイント を表示します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET, OAuth2Response_POST |
ユーザーは IdP トークンを /oauth2/idpresponse エンドポイントに送信します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST, Beta_SAML2Response_POST |
ユーザーは IdP SAMLアサーションを/saml2/idpresponseエンドポイントに送信します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
ユーザーは、ログインエンドポイント でユーザー名を入力し、IdP identifier と一致させます。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST, Beta_Token_POST |
ユーザーは、認証コードを トークンエンドポイント に送信します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET, Signup_POST |
ユーザーは、サインアップ情報を /signup エンドポイントに送信します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET, Confirm_POST |
ユーザーは、ホストされた UI で確認コードを送信します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
ユーザーは、ホストされた UI で確認コードの再送リクエストを送信します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET, ForgotPassword_POST |
ユーザーは、パスワードのリセットリクエストを /forgotPassword エンドポイントに送信します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET,
ConfirmForgotPassword_POST |
ユーザーは、ForgotPassword リクエストを確認するコードを /confirmForgotPassword エンドポイントに送信します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET, ResetPassword_POST |
ユーザーは、ホストされた UI で新しいパスワードを送信します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET, Mfa_POST |
ユーザーは、ホストされた UI で多要素認証 (MFA) コードを送信します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET, MfaOption_POST |
ユーザーは、ホストされた UI MFAで の任意の方法を選択します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET, MfaRegister_POST |
ユーザーは、 の登録時にホストされた UI で多要素認証 (MFA) コードを送信しますMFA。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
ユーザーは、/logout エンドポイントでサインアウトします。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
ユーザーは、/saml2/logout エンドポイントでサインアウトします。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
ユーザーは、ホストされた UI でエラーページを表示します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET, UserInfo_POST |
ユーザーまたは IdP は、UserInfo エンドポイント と情報を交換します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
ユーザーは、Amazon Cognito が E メールメッセージで送信したリンクに基づいて確認を送信します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
ユーザーは、高度なセキュリティ機能イベントに関するフィードバックを Amazon Cognito に送信します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
注記
Amazon Cognito は、ユーザーに固有のリクエストのUserName CloudTrail ログには記録しますUserSubが、記録しません。特定の のユーザーを見つけるには、 ListUsers をUserSub呼び出しAPI、 サブのフィルターを使用します。
Amazon Cognito アイデンティティプール
データイベント
Amazon Cognito は、次の Amazon Cognito ID イベントをデータイベント CloudTrail として に記録します。 データイベントは、デフォルトでログ記録 CloudTrail されない大量のデータプレーンAPIオペレーションです。追加の変更がイベントデータに適用されます。
これらのAPIオペレーションの CloudTrail ログを生成するには、証跡でデータイベントをアクティブ化し、Cognito ID プールのイベントセレクタを選択する必要があります。詳細については、「AWS CloudTrail ユーザーガイド」の「証跡のデータイベントの記録」を参照してください。
次のCLIコマンドを使用して、証跡に ID プールイベントセレクタを追加することもできます。
aws cloudtrail put-event-selectors --trail-name<trail name>--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
管理イベント
Amazon Cognito は、Amazon Cognito ID プールの残りのAPIオペレーションを管理イベント .logs 管理イベントAPIオペレーションとしてデフォルトでログに記録します。 CloudTrail
Amazon Cognito が に記録する Amazon Cognito ID プールAPIオペレーションのリストについては CloudTrail、Amazon Cognito ID プールAPIリファレンス」を参照してください。
Amazon Cognito Sync
Amazon Cognito は、すべての Amazon Cognito Sync APIオペレーションを管理イベントとしてログに記録します。Amazon Cognito が に記録する Amazon Cognito Sync APIオペレーションのリストについては CloudTrail、Amazon Cognito Sync APIリファレンス」を参照してください。
