As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Login no Amazon Cognito AWS CloudTrail
O Amazon Cognito é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Amazon Cognito. CloudTrail captura um subconjunto de API chamadas para o Amazon Cognito como eventos, incluindo chamadas do console do Amazon Cognito e de chamadas de código para as operações do Amazon Cognito. API Se você criar uma trilha, poderá optar por entregar CloudTrail eventos em um bucket do Amazon S3, incluindo eventos para o Amazon Cognito. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Amazon Cognito, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o Guia AWS CloudTrail do usuário.
Você também pode criar CloudWatch alarmes da Amazon para CloudTrail eventos específicos. Por exemplo, você pode configurar CloudWatch para acionar um alarme se a configuração de um grupo de identidades for alterada. Para obter mais informações, consulte Criação de CloudWatch alarmes para CloudTrail eventos: exemplos.
Tópicos
Informações que o Amazon Cognito envia para CloudTrail
CloudTrail é ativado quando você cria seu Conta da AWS. Quando uma atividade de evento suportada ocorre no Amazon Cognito, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.
Para um registro contínuo de eventos em sua AWS conta, incluindo eventos para o Amazon Cognito, crie uma trilha. Uma CloudTrail trilha entrega arquivos de log para um bucket do Amazon S3. Por padrão, ao criar uma trilha no console, ela é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
-
Se a solicitação foi feita com credenciais raiz ou de IAM usuário.
-
Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
-
Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte o CloudTrail userIdentity elemento.
Dados confidenciais em AWS CloudTrail
Como grupos de usuários e grupos de identidades processam dados do usuário, o Amazon Cognito obscurece alguns campos privados em seus CloudTrail eventos com o valor. HIDDEN_FOR_SECURITY_REASONS Para ver exemplos de campos que o Amazon Cognito não preenche para eventos, consulte Exemplos de eventos do Amazon Cognito. O Amazon Cognito oculta apenas alguns campos que normalmente contêm informações do usuário, como senhas e tokens. O Amazon Cognito não realiza nenhuma detecção ou mascaramento automático de informações de identificação pessoal que você preenche em campos não privados em suas solicitações. API
Eventos de grupos de usuários
O Amazon Cognito suporta o registro em log de todas as ações listadas na página de ações do grupo de usuários como eventos em arquivos de CloudTrail log. O Amazon Cognito registra eventos do grupo de usuários CloudTrail como eventos de gerenciamento.
O eventType campo em uma CloudTrail entrada de grupos de usuários do Amazon Cognito informa se seu aplicativo fez a solicitação aos API grupos de usuários do Amazon Cognito ou a um endpoint que fornece recursos para o OpenID SAML Connect 2.0 ou para a interface de usuário hospedada. APIas solicitações têm um eventType de AwsApiCall e as solicitações de endpoint têm um eventType deAwsServiceEvent.
O Amazon Cognito registra as seguintes solicitações de UI hospedada em sua UI hospedada como eventos em. CloudTrail
Operações de interface de usuário hospedadas em CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Operation | Descrição | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET, CognitoAuthentication |
Um usuário visualiza ou envia credenciais para o Endpoint de login. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET, Beta_Authorize_GET |
Um usuário visualiza o Autorizar endpoint. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET, OAuth2Response_POST |
Um usuário envia um token de IdP ao endpoint /oauth2/idpresponse. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST, Beta_SAML2Response_POST |
Um usuário envia uma SAML declaração de IdP para seu endpoint. /saml2/idpresponse |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
Um usuário insere um nome de usuário no Endpoint de login e ele corresponde a um identificador IdP. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST, Beta_Token_POST |
Um usuário envia um código de autorização ao Endpoint de token. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET, Signup_POST |
Um usuário envia informações de login ao endpoint /signup. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET, Confirm_POST |
Um usuário envia um código de confirmação na interface do usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
Um usuário envia uma solicitação de reenvio de código de confirmação na interface do usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET, ForgotPassword_POST |
Um usuário envia uma solicitação de redefinição de senha ao endpoint /forgotPassword. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET,
ConfirmForgotPassword_POST |
Um usuário envia um código ao endpoint /confirmForgotPassword que confirma a solicitação de ForgotPassword. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET, ResetPassword_POST |
Um usuário envia uma nova senha na interface do usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET, Mfa_POST |
Um usuário envia um código de autenticação multifator (MFA) na interface hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET, MfaOption_POST |
Um usuário escolhe seu método preferido MFA na interface hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET, MfaRegister_POST |
Um usuário envia um código de autenticação multifator (MFA) na interface hospedada ao registrar o. MFA | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
Um usuário faz logout no endpoint /logout. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
Um usuário faz logout no endpoint /saml2/logout. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
Um usuário visualiza uma página de erro na interface do usuário hospedada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET, UserInfo_POST |
Um usuário ou IdP troca informações com o userInfo ponto final. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
Um usuário envia uma confirmação baseada em um link que o Amazon Cognito enviou em uma mensagem de e-mail. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
Um usuário envia feedback para o Amazon Cognito sobre um evento de recursos de segurança avançada. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
nota
O Amazon Cognito registraUserSub, mas não UserName em CloudTrail registros, solicitações específicas de um usuário. Você pode encontrar um usuário para um determinado UserSub chamando o ListUsers API e usando um filtro para sub.
Eventos de grupos de identidades
Eventos de dados
O Amazon Cognito registra os seguintes eventos de identidade do Amazon Cognito como eventos CloudTrail de dados. Eventos de dados são API operações de alto volume no plano de dados que CloudTrail não são registradas por padrão. Há cobranças adicionais para eventos de dados.
Para gerar CloudTrail registros para essas API operações, você deve ativar eventos de dados em sua trilha e escolher seletores de eventos para os grupos de identidade do Cognito. Para obter mais informações, consulte Registro eventos de dados em logs para trilhas no Guia do usuário do AWS CloudTrail .
Você também pode adicionar seletores de eventos de grupos de identidade à sua trilha com o CLI comando a seguir.
aws cloudtrail put-event-selectors --trail-name<trail name>--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
Eventos de gerenciamento
O Amazon Cognito registra o restante das operações dos grupos API de identidade do Amazon Cognito como eventos de gerenciamento. CloudTrail APIoperações de eventos de gerenciamento de registros por padrão.
Para obter uma lista das API operações dos grupos de identidades do Amazon Cognito nas quais o Amazon Cognito se registra, consulte CloudTrail a Referência dos grupos de identidade do Amazon Cognito. API
Amazon Cognito Sync
O Amazon Cognito registra todas as operações do Amazon Cognito API Sync como eventos de gerenciamento. Para obter uma lista das API operações do Amazon Cognito Sync nas quais o Amazon Cognito faz login CloudTrail, consulte a Referência do Amazon Cognito Sync. API
Análise de CloudTrail eventos do Amazon Cognito com o Amazon Logs Insights CloudWatch
Você pode pesquisar e analisar seus CloudTrail eventos do Amazon Cognito com o Amazon CloudWatch Logs Insights. Quando você configura sua trilha para enviar eventos para o CloudWatch Logs, CloudTrail envia somente os eventos que correspondem às suas configurações de trilha.
Para consultar ou pesquisar seus CloudTrail eventos do Amazon Cognito, no CloudTrail console, certifique-se de selecionar a opção Gerenciamento de eventos nas configurações da trilha para poder monitorar as operações de gerenciamento realizadas em seus AWS recursos. Você pode selecionar a opção Eventos do Insights nas configurações de trilha quando quiser identificar erros, atividades ou comportamento incomuns do usuário em sua conta.
Exemplos de consultas do Amazon Cognito
Você pode usar as seguintes consultas no CloudWatch console da Amazon.
Consultas gerais
Encontre os 25 eventos de log adicionados mais recentemente.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"
Obtenha uma lista dos 25 eventos de log adicionados mais recentemente que incluem exceções.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
Consultas de exceção e erro
Encontre os 25 eventos de log adicionados mais recentemente com código de erro NotAuthorizedException junto com o grupo de usuários do Amazon Cognito sub.
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
Encontre o número de registros com sourceIPAddress e o correspondente eventName.
filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName
Encontre os 25 principais endereços IP que acionaram um erro de NotAuthorizedException.
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25
Encontre os 25 principais endereços IP que ligaram para ForgotPassword API o.
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25
