As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como registrar em log e monitorar no Amazon Cognito
O monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho do Amazon Cognito e de suas outras AWS soluções. Atualmente, o Amazon Cognito é compatível com os Serviços da AWS a seguir, para que você possa monitorar sua organização e a atividade que acontece dentro dela.
+ **AWS CloudTrail —** Com CloudTrail você pode capturar chamadas de API do console do Amazon Cognito e de chamadas de código para as operações de API do Amazon Cognito. Por exemplo, quando um usuário se autentica, CloudTrail pode registrar detalhes como o endereço IP na solicitação, quem fez a solicitação e quando ela foi feita.
+ **Amazon CloudWatch Logs** — Com o CloudWatch Logs, você pode enviar registros detalhados da atividade do usuário para um grupo de registros. Por exemplo, é possível revisar os logs detalhados de atividades dos usuários para solucionar problemas na entrega de mensagens de e-mail e de SMS aos seus usuários.
+ **Amazon CloudWatch Metrics —** Com CloudWatch métricas, você pode monitorar, relatar e realizar ações automáticas no caso de um evento quase em tempo real. Por exemplo, você pode criar CloudWatch painéis nas métricas fornecidas para monitorar seus grupos de usuários do Amazon Cognito ou CloudWatch criar alarmes nas métricas fornecidas para notificá-lo sobre a violação de um limite definido.
+ **Amazon CloudWatch Logs Insights** — Com o CloudWatch Logs Insights, você pode configurar o CloudTrail envio de eventos CloudWatch para monitorar os arquivos de CloudTrail log do Amazon Cognito.
**Topics**
+ [Monitorar e gerenciar custos](tracking-cost.md)
+ [Exportação de logs dos grupos de usuários do Amazon Cognito](exporting-quotas-and-usage.md)
+ [Rastreamento de cotas e uso em CloudWatch e Service Quotas](tracking-quotas-and-usage-in-cloud-watch-and-service-quotas.md)
+ [Login no Amazon Cognito AWS CloudTrail](logging-using-cloudtrail.md)
# Monitorar e gerenciar custos
Como com qualquer outro AWS service (Serviço da AWS), é importante entender o efeito da configuração e do uso do Amazon Cognito na sua AWS fatura. Como parte de seus preparativos para a implantação de grupos de usuários na produção, configure o monitoramento e as proteções para o consumo de atividades e recursos. Quando você sabe onde procurar e quais ações geram custos adicionais, pode configurar precauções contra surpresas na fatura.
O Amazon Cognito cobra pelas seguintes dimensões de utilização:
+ Grupo de usuários ativos mensais (MAUs) — a taxa varia de acordo com o plano de [recursos](cognito-sign-in-feature-plans.md)
+ Grupo de usuários MAUs conectado com a federação OIDC ou SAML
+ Volume de solicitações para autorização máquina a máquina (M2M) com concessões de credenciais do cliente
+ Uso comprado acima das cotas padrão para algumas categorias de grupos de usuários APIs
Além disso, recursos do seu grupo de usuários, como mensagens de e-mail, mensagens SMS e gatilhos Lambda, podem gerar custos em serviços dependentes. Para uma visão geral completa, consulte [Preço do Amazon Cognito](https://aws.amazon.com/cognito/pricing).
## Visualizar e prever custos
Eventos de alto volume, como lançamentos de produtos e abertura para novas bases de usuários, podem aumentar sua contagem de MAUs e afetar os custos. Estime a contagem de novos usuários com antecedência e observe regularmente as atividades. Você pode acomodar o volume com a compra de capacidade de cota adicional ou controlar o volume com medidas de segurança adicionais.
Você pode visualizar e relatar seus AWS custos no [Gerenciamento de Faturamento e Custos da AWS console](https://console.aws.amazon.com/billing/home). As cobranças mais recentes do Amazon Cognito estão na seção **Faturamento e pagamentos**. Em **Faturas**, **Cobranças por serviço**, filtre o `Cognito` para ver a utilização. Para obter mais informações, consulte [Exibição da sua fatura](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/getting-viewing-bill.html) no *Guia do usuário do AWS Billing *.
Para monitorar as taxas de solicitação de API, consulte a métrica **Utilização** no console do Service Quotas. Por exemplo, as solicitações de credenciais do cliente são exibidas como **Taxa de ClientAuthentication solicitações**. Na fatura, essas solicitações estão associadas ao cliente da aplicação que as produziu. Com essas informações, você pode alocar custos de forma equitativa aos locatários em uma [arquitetura de multilocatários](multi-tenant-application-best-practices.md).
Para obter uma contagem das solicitações M2M por um período de tempo, você também pode enviar [AWS CloudTrail eventos ao CloudWatch Logs para análise](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html). Consulte seus CloudTrail eventos para `Token_POST` eventos com uma concessão de credenciais de cliente. A consulta do CloudWatch Insights a seguir retorna essa contagem.
```
filter eventName = "Token_POST" and @message like '"grant_type":["client_credentials"]' | stats count(*)
```
## Gerenciar custos
O Amazon Cognito cobra com base na contagem de usuários, no uso de recursos e no volume de solicitações. Veja a seguir algumas dicas para gerenciar custos no Amazon Cognito:
**Não ative usuários inativos**
Operações típicas que tornam um usuário ativo são login, inscrição e redefinição de senha. Para obter uma lista mais completa, consulte [Usuários ativos mensalmente](quotas.md#monthly-active-users). O Amazon Cognito não contabiliza usuários inativos na fatura. Evite qualquer operação que deixe um usuário ativo. Em vez da operação [AdminGetUser](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminGetUser.html)da API, consulte os usuários com a [ListUsers](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUsers.html)operação. Não faça testes administrativos de alto volume de operações de grupos de usuários com usuários inativos.
**Vincule usuários federados**
Usuários que fazem login com um provedor de identidades SAML 2.0 ou OpenID Connect (OIDC) têm um custo mais alto do que [usuários locais](cognito-terms.md#terms-localuser). Você pode [vincular esses usuários a um perfil de usuário local](cognito-user-pools-identity-federation-consolidate-users.md). Um usuário vinculado pode fazer login como usuário local com os atributos e o acesso fornecidos com seu usuário federado. Os usuários do SAML ou do OIDC IdPs que, ao longo de um mês, só fazem login com uma conta local vinculada são cobrados como usuários locais.
**Gerencie as taxas de solicitação**
Se seu grupo de usuários estiver se aproximando do limite máximo de sua cota, recomenda-se comprar capacidade adicional para lidar com o volume. Talvez você consiga reduzir o volume de solicitações na aplicação. Para obter mais informações, consulte [Otimizar as taxas de solicitação para limites de cota](quotas.md#optimize-quotas).
**Solicite um novo token somente quando precisar de um**
A autorização máquina a máquina (M2M) com concessões de credenciais de clientes pode atingir um alto volume de solicitações de token. Cada nova solicitação de token afeta sua cota de taxa de solicitação e o tamanho da fatura. Para otimizar o custo, inclua configurações de expiração e tratamento de tokens no design de suas aplicações.
+ [Armazene os tokens de acesso em cache](amazon-cognito-user-pools-using-tokens-caching-tokens.md) para que, quando sua aplicação solicitar um novo token, ela receba uma versão em cache de um token emitido anteriormente. Quando você implementa esse método, seu proxy de cache age como uma proteção contra aplicações que solicitam tokens de acesso sem conhecer a expiração dos tokens adquiridos anteriormente. O armazenamento em cache de tokens é ideal para microsserviços de curta duração, como funções do Lambda e contêineres do Docker.
+ Implemente mecanismos de tratamento de tokens em suas aplicações que levem em conta a expiração do token. Não solicite um novo token até que os tokens anteriores estejam prestes a expirar. A prática recomendada é atualizar os tokens em cerca de 75% da vida útil do token. Essa prática maximiza a duração do token e, ao mesmo tempo, garante a continuidade do usuário em sua aplicação.
Avalie as necessidades de confidencialidade e disponibilidade de cada aplicação e configure o cliente da aplicação do grupo de usuários para emitir tokens de acesso com um período de validade apropriado. A duração personalizada do token funciona melhor com servidores de longa duração APIs que podem gerenciar persistentemente a frequência das solicitações de credenciais.
**ListUsers, não AdminGetUser**
Para consultar os atributos dos usuários em seu grupo de usuários, use a operação da [ListUsers](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUsers.html)API e os métodos [SDK](https://aws.amazon.com/developer/tools/) associados sempre que possível. [AdminGetUser](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminGetUser.html)marca um usuário como ativo no mês e contribui para os usuários ativos mensais (MAUs) que são usados para calcular sua fatura por grupos de usuários.
**Gerenciar planos de recursos**
Quando você escolhe um [plano de recursos](cognito-sign-in-feature-plans.md) em um grupo de usuários, a taxa de cobrança se aplica a todos MAUs no grupo de usuários. Se você tiver usuários que não precisam de recursos que vêm com um plano de recursos de nível superior, separe-os em outro grupo de usuários.
# Exportação de logs dos grupos de usuários do Amazon Cognito
Você pode configurar seu grupo de usuários para enviar registros detalhados de alguma atividade adicional para outra pessoa AWS service (Serviço da AWS), como um grupo de CloudWatch registros. [Esses registros têm uma granularidade mais fina do que os registrados e podem ser úteis para solucionar problemas do grupo de usuários e analisar a atividade de login do usuário com proteção contra ameaças. AWS CloudTrail](cognito-user-pool-settings-threat-protection.md) Quando você quiser transmitir registros de erros de notificação por SMS e e-mail, seu grupo de usuários envia registros em `ERROR` nível de CloudWatch registro para um grupo de registros. Quando você quiser transmitir logs da atividade de login do usuário, seu grupo de usuários enviará logs em nível de `INFO` para um grupo de logs, um stream do Amazon Data Firehose ou um bucket do Amazon S3. É possível combinar as duas opções em um grupo de usuários.
**Topics**
+ [O que é importante saber sobre exportação de logs](#exporting-quotas-and-usage-things-to-know)
+ [Exportar erros de entrega de e-mails e mensagens SMS](#exporting-quotas-and-usage-messages)
+ [Exportar logs de atividade de usuários de proteção contra ameaças](#exporting-quotas-and-usage-user-activity)
## O que é importante saber sobre exportação de logs
**Impacto do custo**
O Amazon Data Firehose, o Amazon S3 e o Logs incorrem em custos de ingestão CloudWatch e recuperação de dados. Sua configuração de registro pode afetar sua AWS fatura. Para saber mais, consulte:
+ [Logs vendidos](https://aws.amazon.com/cloudwatch/pricing/#Vended_Logs) nos * CloudWatch preços da Amazon*.
+ [Definição de preços do Amazon Data Firehose](https://aws.amazon.com/firehose/pricing/)
+ [Definição de preços do Amazon S3](https://aws.amazon.com/s3/pricing/)
As exportações de logs de atividades do usuário contêm avaliações de segurança e são uma função da [proteção contra ameaças](cognito-user-pool-settings-threat-protection.md) do grupo de usuários. O Amazon Cognito só gera esses logs quando a proteção contra ameaças está no modo **Somente auditoria** ou **Função completa** e o grupo de usuários está no [plano de recursos](cognito-sign-in-feature-plans.md) Plus.
**Logs de atividades do usuário são de nível `INFO`**
Os logs de atividade do usuário exportados estão somente no nível de erro `INFO` e fornecem informações para análise estatística e de segurança da atividade de autenticação. Mensagens nos níveis de erro `WARNING` e `ERROR`, por exemplo, erros de controle de utilização, não estão incluídas nos logs exportados.
**Entrega do melhor esforço**
A entrega de logs do Amazon Cognito é o melhor esforço. O volume de registros que seu grupo de usuários fornece e suas cotas de serviço para CloudWatch Logs, Amazon S3 e Firehose podem afetar a entrega de registros.
**Os logs externos existentes não são afetados**
Essas opções de logs não substituem nem alteram as seguintes funções de log dos grupos de usuários:
1. CloudTrail registros de atividades rotineiras do usuário, como inscrição e login.
1. Análise da atividade do usuário em grande escala com CloudWatch métricas.
Separadamente, você também pode encontrar registros de [Visualizando os resultados da importação do grupo de usuários no CloudWatch console](cognito-user-pools-using-import-tool.md#cognito-user-pools-using-import-tool-cloudwatch) e [Como personalizar fluxos de trabalho do grupo de usuários com acionadores do Lambda](cognito-user-pools-working-with-lambda-triggers.md) em CloudWatch Registros. O Amazon Cognito e o Lambda armazenam esses logs em grupos de logs diferentes daqueles que você especifica para logs de atividades do usuário.
**Aplica-se somente aos grupos de usuários**
Não existem recursos de exportação de logs para bancos de identidades.
**Requer permissões de usuário e perfil vinculado ao serviço**
O AWS diretor que configura a exportação de registros deve ter permissões para modificar os recursos de destino, conforme descrito nos tópicos a seguir. O Amazon Cognito cria um [perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) em seu nome e assume a função de entregar logs ao recurso de destino.
Para obter mais informações sobre o modelo de autorização para envio de registros do Amazon Cognito, consulte [Habilitar o registro Serviços da AWS no Guia do](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions) *usuário do Amazon CloudWatch Logs*.
**O nível de log é exclusivo para o tipo de log**
Os logs de entrega de mensagens são do tipo `userNotification` e do nível de erro `ERROR`. Os logs de atividades do usuário de segurança avançada são do tipo `userAuthEvents` e do nível de erro `INFO`. Você pode combinar dois membros do`LogConfigurations`, um `userNotification` para CloudWatch Logs e outro `userAuthEvents` para Firehose, Amazon S3 ou Logs. CloudWatch
Você não pode enviar logs de atividades do usuário para vários destinos. Você não pode enviar registros de notificação do usuário para nenhum destino que não seja o CloudWatch Logs.
**Opções de configuração diferentes**
Você só pode configurar logs de notificação de usuário com a API de grupos de usuários do Amazon Cognito ou um AWS SDK. Você pode configurar logs de atividades do usuário de segurança avançada com a API ou no console do Amazon Cognito. Para definir ambos, use a API conforme demonstrado na solicitação de exemplo em [SetLogDeliveryConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetLogDeliveryConfiguration.html).
**Configuração adicional necessária com grandes políticas baseadas em recursos**
Para enviar logs a grupos de logs com uma política de recursos de tamanho maior que 5120 caracteres, configure um grupo de logs com um caminho que comece com `/aws/vendedlogs`. Para obter mais informações, consulte [Habilitar o registro de determinados AWS serviços](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html).
**Criação automática de uma pasta no Amazon S3**
Ao configurar a exportação do log de proteção contra ameaças para um bucket do Amazon S3, o Amazon Cognito pode criar uma pasta `AWSLogs` no seu bucket. Essa pasta não é criada em todos os casos, e a configuração pode ser bem-sucedida mesmo sem sua criação.
## Exportar erros de entrega de e-mails e mensagens SMS
Para erros de entrega de mensagens de e-mail e SMS, você pode entregar logs de notificação de usuário no nível de **Erro** do grupo de usuários. Ao ativar esse atributo, é possível escolher o grupo de logs para o qual você deseja que o Amazon Cognito envie logs. O log de notificações do usuário é útil quando você deseja descobrir o status das mensagens de e-mail e SMS que o grupo de usuários entregou com o Amazon SNS e o Amazon SES. Essa opção de exportação de log, diferentemente da [exportação de atividades do usuário](#exporting-quotas-and-usage-user-activity.title), não exige o plano de recursos Plus.
Você pode configurar registros de notificação detalhados com a API de grupos de usuários do Amazon Cognito em uma solicitação de [SetLogDeliveryConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetLogDeliveryConfiguration.html)API. Você pode ver a configuração de registro de um grupo de usuários em uma solicitação de [GetLogDeliveryConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetLogDeliveryConfiguration.html)API. Veja a seguir um exemplo de corpo da solicitação .
```
{
"LogConfigurations": [
{
"CloudWatchLogsConfiguration": {
"LogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:example-user-pool-exported"
},
"EventSource": "userNotification",
"LogLevel": "ERROR"
}
],
"UserPoolId": "us-west-2_EXAMPLE"
}
```
Você deve autorizar essas solicitações com AWS credenciais que tenham as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageUserPoolLogs",
"Action": [
"cognito-idp:SetLogDeliveryConfiguration",
"cognito-idp:GetLogDeliveryConfiguration"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "CognitoLog",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "CognitoLoggingCWL",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Veja a seguir um exemplo de evento de um grupo de usuários. Esse esquema de logs está sujeito a alterações. Alguns campos podem ser registrados em log com valores nulos.
```
{
"eventTimestamp": "1687297330677",
"eventSource": "USER_NOTIFICATION",
"logLevel": "ERROR",
"message": {
"details": "String"
},
"logSourceId": {
"userPoolId": "String"
}
}
```
## Exportar logs de atividade de usuários de proteção contra ameaças
Grupos de usuários com o plano de recursos Plus e proteção contra ameaças registram em log os eventos de atividade de usuários: os detalhes e a avaliação de segurança do login e logout do usuário e de outras operações de autenticação com seu grupo de usuários. Talvez você queira revisar os logs de atividades do usuário em seu próprio sistema de gerenciamento de logs ou criar um arquivo. Você pode exportar esses dados para um grupo de CloudWatch logs do Amazon Logs, um stream do Amazon Data Firehose ou um bucket do Amazon Simple Storage Service (Amazon S3). A partir daí, você pode ingerir esses dados em outros sistemas que analisam, normalizam ou processam dados de forma a ajustá-los aos seus processos operacionais. Para exportar dados desse tipo, o grupo de usuários deve estar no plano de recursos Plus e a [proteção contra ameaças](cognito-user-pool-settings-threat-protection.md) deve estar ativa no grupo de usuários.
Com as informações nesses logs de atividades do usuário, você pode ver um perfil das atividades de login e gerenciamento de contas do usuário. Por padrão, o Amazon Cognito captura esses eventos para um armazenamento baseado em seu grupo de usuários. O exemplo a seguir é de um evento de um usuário que fez login e recebeu uma avaliação de ausência de fatores de risco. Você pode recuperar essas informações com a operação da API `AdminListUserAuthEvents`. Veja a seguir um exemplo de saída:
```
{
"AuthEvents": [
{
"EventId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"EventType": "SignIn",
"CreationDate": "2024-06-27T10:49:59.139000-07:00",
"EventResponse": "Pass",
"EventRisk": {
"RiskDecision": "NoRisk",
"CompromisedCredentialsDetected": false
},
"ChallengeResponses": [
{
"ChallengeName": "Password",
"ChallengeResponse": "Success"
}
],
"EventContextData": {
"IpAddress": "192.0.2.1",
"DeviceName": "Chrome 126, Windows 10",
"Timezone": "-07:00",
"City": "null",
"Country": "United States"
}
}
],
"NextToken": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222#2024-06-27T17:49:59.139Z"
}
```
Você pode ativar a exportação de log para a atividade do usuário no console do Amazon Cognito ou com a operação da [SetLogDeliveryConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetLogDeliveryConfiguration.html)API.
------
#### [ Console de gerenciamento da AWS ]
1. Se você ainda não tem um que queira usar, crie um [bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html), um stream do [Firehose CloudWatch](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) [ou](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) um grupo de registros.
1. Faça login no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home).
1. Escolha **User Pools** (Grupos de usuários).
1. Escolha um grupo de usuários existente na lista ou [crie um grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Escolha a guia **Segurança avançada**. Localize **Exportar logs de atividades do usuário** e escolha **Editar**
1. Em **Status de registro em log**, marque a caixa de seleção ao lado de **Ativar exportação do log de atividades do usuário**.
1. Em **Logging destination**, escolha o AWS service (Serviço da AWS) que você deseja manipular com seus registros: **grupo de CloudWatch registros**, **stream do Amazon Data Firehose** ou bucket do **S3**.
1. Sua seleção preencherá o seletor de recursos com o tipo de recurso correspondente. Selecione um grupo de logs, stream ou bucket na lista. Você também pode selecionar o botão **Criar** para navegar até o serviço selecionado e criar um novo recurso. Console de gerenciamento da AWS
1. Selecione **Salvar alterações**.
------
#### [ API ]
Escolha um tipo de destino para seus logs de atividades do usuário.
Veja a seguir um exemplo de corpo de solicitação `SetLogDeliveryConfiguration` que define um stream do Firehose como o destino do log.
```
{
"LogConfigurations": [
{
"EventSource": "userAuthEvents",
"FirehoseConfiguration": {
"StreamArn": "arn:aws:firehose:us-west-2:123456789012:deliverystream/example-user-pool-activity-exported"
},
"LogLevel": "INFO"
}
],
"UserPoolId": "us-west-2_EXAMPLE"
}
```
Veja a seguir um exemplo de corpo de solicitação `SetLogDeliveryConfiguration` que define um bucket do Amazon S3 como o destino do log.
```
{
"LogConfigurations": [
{
"EventSource": "userAuthEvents",
"S3Configuration": {
"BucketArn": "arn:aws:s3:::amzn-s3-demo-logging-bucket"
},
"LogLevel": "INFO"
}
],
"UserPoolId": "us-west-2_EXAMPLE"
}
```
Veja a seguir um exemplo de corpo de `SetLogDeliveryConfiguration` solicitação que define um grupo de CloudWatch registros como o destino do registro.
```
{
"LogConfigurations": [
{
"EventSource": "userAuthEvents",
"CloudWatchLogsConfiguration": {
"LogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:DOC-EXAMPLE-LOG-GROUP"
},
"LogLevel": "INFO"
}
],
"UserPoolId": "us-west-2_EXAMPLE"
}
```
------
O usuário que configura a entrega de logs deve ser administrador do grupo de usuários e ter as seguintes permissões adicionais:
------
#### [ Amazon S3 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageUserPoolLogs",
"Action": [
"cognito-idp:SetLogDeliveryConfiguration",
"cognito-idp:GetLogDeliveryConfiguration"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "ManageLogsS3",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "*"
}
]
}
```
------
------
#### [ CloudWatch Logs ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageUserPoolLogs",
"Action": [
"cognito-idp:SetLogDeliveryConfiguration",
"cognito-idp:GetLogDeliveryConfiguration"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "ManageLogsCWL",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
------
#### [ Amazon Data Firehose ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageUserPoolLogs",
"Action": [
"cognito-idp:SetLogDeliveryConfiguration",
"cognito-idp:GetLogDeliveryConfiguration"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "ManageUserPoolLogsFirehose",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
------
Veja a seguir um exemplo de evento de um grupo de usuários. Esse esquema de logs está sujeito a alterações. Alguns campos podem ser registrados em log com valores nulos.
```
{
"eventTimestamp": "1687297330677",
"eventSource": "USER_ACTIVITY",
"logLevel": "INFO",
"message": {
"version": "1",
"eventId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"eventType": "SignUp",
"userSub": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"userName": "test-user",
"userPoolId": "us-west-2_EXAMPLE",
"clientId": "1example23456789",
"creationDate": "Wed Jul 17 17:25:55 UTC 2024",
"eventResponse": "InProgress",
"riskLevel": "",
"riskDecision": "PASS",
"challenges": [],
"deviceName": "Other, Other",
"ipAddress": "192.0.2.1",
"requestId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"idpName": "",
"compromisedCredentialDetected": "false",
"city": "Seattle",
"country": "United States",
"eventFeedbackValue": "",
"eventFeedbackDate": "",
"eventFeedbackProvider": "",
"hasContextData": "true"
},
"logSourceId": {
"userPoolId": "us-west-2_EXAMPLE"
}
}
```
# Rastreamento de cotas e uso em CloudWatch e Service Quotas
Você pode monitorar grupos de usuários do Amazon Cognito usando a Amazon CloudWatch ou usando Cotas de Serviço. Você também pode monitorar o uso de grupos de identidades em Service Quotas. CloudWatch coleta dados brutos e os processa em métricas legíveis, quase em tempo real. Em CloudWatch, você pode definir alarmes que observem determinados limites e enviar notificações ou realizar ações quando esses limites forem atingidos. Para criar um CloudWatch alarme para uma cota de serviço, consulte [Criar um CloudWatch alarme](https://docs.aws.amazon.com/cognito/latest/developerguide/limits.html#create-a-cloud-watch-alarm). As métricas do Amazon Cognito são disponibilizadas em intervalos de cinco minutos. Para obter mais informações sobre períodos de retenção em CloudWatch, visite a [página de CloudWatch perguntas frequentes da Amazon.](https://aws.amazon.com/cloudwatch/faqs)
É possível utilizar o Service Quotas para visualizar e gerenciar a utilização de cotas de grupos de usuários e de bancos de identidades do Amazon Cognito. O console do Service Quotas tem três recursos: visualizar cotas de serviço, solicitar um aumento da cota de serviço e visualizar a utilização atual. É possível usar o primeiro recurso para visualizar cotas e ver se a cota é ajustável. Você pode usar o segundo recurso para solicitar um aumento do Service Quotas. Você pode usar o último recurso para visualizar a utilização da cota. Esse recurso só estará disponível depois que sua conta estiver ativa por algum tempo. Para obter mais informações sobre como visualizar cotas no console do Service Quotas, consulte [Visualizar Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/gs-request-quota.html).
**nota**
As métricas do Amazon Cognito são disponibilizadas em intervalos de cinco minutos. Para obter mais informações sobre períodos de retenção em CloudWatch, visite a [página de CloudWatch perguntas frequentes da Amazon](https://aws.amazon.com/cloudwatch/faqs/).
Se você estiver conectado a uma Conta da AWS conta configurada como uma conta de monitoramento na observabilidade CloudWatch entre contas, poderá usar essa conta de monitoramento para visualizar cotas de serviço e definir alarmes para métricas nas contas de origem vinculadas a essa conta de monitoramento. Para obter mais informações, consulte [Observabilidade entre contas do CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
**Topics**
+ [Métricas do grupo de usuários em CloudWatch](metrics-for-cognito-user-pools.md)
+ [Métricas no Service Quotas](use-the-service-quota-console-to-track-metrics.md)
# Métricas do grupo de usuários em CloudWatch
Os grupos de usuários relatam as estatísticas da atividade do usuário CloudWatch como métricas. A partir de CloudWatch, você pode analisar o volume da atividade de autenticação e o uso da cota em seus grupos de usuários. Com as informações nessas métricas, você pode definir alarmes para eventos que merecem destaque e ajustar a configuração do grupo de usuários conforme necessário. Onde o registro de atividades do usuário tem registros detalhados da atividade do usuário em seus grupos de usuários, CloudWatch as métricas têm estatísticas agregadas e indicadores de desempenho.
A tabela a seguir lista as métricas disponíveis para grupos de usuários do Amazon Cognito. O Amazon Cognito publica métricas nos namespaces `AWS/Cognito` e `AWS/Usage`. Para obter mais informações, consulte [Namespaces](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace) no Guia * CloudWatch do usuário da Amazon*.
Para obter mais informações sobre rastreamento de cotas e uso, consulte [Rastrear o uso da cota](quotas.md#track-quota-usage) e [Rastreie usuários ativos mensais (MAUs)](quotas.md#track-mau-usage).
**nota**
As métricas que não tiverem tido novos pontos de dados nas últimas duas semanas não serão exibidas no console. Elas também não são exibidas quando você insere o nome da métrica ou os nomes de dimensão na caixa de pesquisa na guia **All metrics** (Todas as métricas) no console. Além disso, elas não são retornados nos resultados de um comando list-metrics. A melhor maneira de recuperar essas métricas é com os `get-metric-statistics` comandos `get-metric-data` or na AWS CLI.
| Métrica | Description | Namespace |
| --- | --- | --- |
| SignUpSuccesses | Fornece o número total de solicitações bem-sucedidas de registro de usuário feitas ao grupo de usuários do Amazon Cognito. Uma solicitação de registro de usuário bem-sucedida produz um valor de 1, enquanto uma solicitação malsucedida produz um valor de 0. Uma solicitação com controle de utilização também é considerada uma solicitação malsucedida e, portanto, também produzirá uma contagem de 0. Para descobrir a porcentagem de solicitações de registro de usuário bem-sucedidas, use a estatística `Average` nessa métrica. Para contar o número total de solicitações de registro de usuário, use a estatística `Sample Count` nessa métrica. Para contar o número total de solicitações de registro de usuário bem-sucedidas, use a estatística `Sum` nessa métrica. Para contar o número total de solicitações de registro de usuários que falharam, use a CloudWatch `Math` expressão e subtraia a `Sum` estatística da `Sample Count` estatística. Essa métrica é publicada por grupo de usuários, para cada cliente de grupo de usuários. Caso o registro de usuário seja realizado por um administrador, a métrica será publicada com o cliente de grupo de usuários como `Admin`. Observe que essa métrica não é emitida para casos de [Importação de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html) e [Migração de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-import-using-lambda.html). Dimensão da métrica: `UserPool`, `UserPoolClient` Unidades: contagem | AWS/Cognito |
| SignUpThrottles | Fornece o número total de solicitações com controle de utilização de registro de usuário feitas ao grupo de usuários do Amazon Cognito. Uma contagem de 1 é publicada sempre que uma solicitação de registro de usuário é limitada. Para contar o número total de solicitações de registro de usuário limitadas, use a estatística `Sum` para essa métrica. Essa métrica é publicada para cada grupo de usuários para cada cliente. Caso a solicitação com controle de utilização tenha sido feita por um administrador, a métrica será publicada com o cliente de grupo de usuários como `Admin`. Dimensão da métrica: `UserPool`, `UserPoolClient` Unidades: contagem | AWS/Cognito |
| SignInSuccesses | Fornece o número total de solicitações bem-sucedidas de autenticação de usuário feitas ao grupo de usuários do Amazon Cognito. Uma autenticação de usuário é considerada bem-sucedida quando o token de autenticação é emitido para o usuário. Uma autenticação bem-sucedida produz um valor de 1, enquanto uma solicitação malsucedida produz um valor de 0. Uma solicitação com controle de utilização também é considerada uma solicitação malsucedida e, portanto, também produzirá uma contagem de 0. Para descobrir a porcentagem de solicitações de autenticação de usuário bem-sucedidas, use a estatística `Average` nessa métrica. Para contar o número total de solicitações de autenticação de usuário, use a estatística `Sample Count` nessa métrica. Para contar o número total de solicitações de autenticação de usuário bem-sucedidas, use a estatística `Sum` nessa métrica. Para contar o número total de solicitações de autenticação de usuário com falha, use a CloudWatch `Math` expressão e subtraia a `Sum` estatística da `Sample Count` estatística. Essa métrica é publicada para cada grupo de usuários para cada cliente. Caso um cliente de grupo de usuários inválido seja fornecido com uma solicitação, o valor de cliente de grupo de usuários correspondente na métrica conterá um valor fixo `Invalid` em vez do valor inválido real enviado na solicitação. Observe que as solicitações para atualizar o token do Amazon Cognito não estão incluídas nessa métrica. Há uma métrica separada para fornecer estatísticas de token `Refresh`. Dimensão da métrica: `UserPool`, `UserPoolClient` Unidades: contagem | AWS/Cognito |
| SignInThrottles | Fornece o número total de solicitações com controle de utilização de autenticação de usuário feitas ao grupo de usuários do Amazon Cognito. Uma contagem de 1 é publicada sempre que uma solicitação de autenticação de usuário é limitada. Para contar o número total de solicitações de autenticação de usuário limitadas, use a estatística `Sum` para essa métrica. Essa métrica é publicada para cada grupo de usuários para cada cliente. Caso um cliente de grupo de usuários inválido seja fornecido com uma solicitação, o valor de cliente de grupo de usuários correspondente na métrica conterá um valor fixo `Invalid` em vez do valor inválido real enviado na solicitação. Solicitações para atualizar o token do Amazon Cognito não estão incluídas nessa métrica. Há uma métrica separada para fornecer estatísticas de token `Refresh`. Dimensão da métrica: `UserPool`, `UserPoolClient` Unidades: contagem | AWS/Cognito |
| TokenRefreshSuccesses | Fornece o número total de solicitações bem-sucedidas para atualizar um token do Amazon Cognito que foram feitas ao grupo de usuários do Amazon Cognito. Uma solicitação bem-sucedida de atualização do token do Amazon Cognito produz um valor de 1, enquanto uma solicitação malsucedida produz um valor de 0. Uma solicitação com controle de utilização também é considerada uma solicitação malsucedida e, portanto, também produzirá uma contagem de 0. Para descobrir a porcentagem de solicitações bem-sucedidas de atualização de um token do Amazon Cognito, use a estatística `Average` nessa métrica. Para contar o número total de solicitações de atualização de um token do Amazon Cognito, use a estatística `Sample Count` nessa métrica. Para contar o número total de solicitações bem-sucedidas de atualização de um token do Amazon Cognito, use a estatística `Sum` nessa métrica. Para contar o número total de solicitações malsucedidas para atualizar um token do Amazon Cognito, use CloudWatch `Math` a expressão e subtraia `Sum` a estatística da estatística. `Sample Count` Essa métrica é publicada para cada cliente de grupo de usuários. Se o cliente de um grupo de usuários inválido estiver em uma solicitação, o valor do cliente do grupo de usuários conterá um valor fixo de `Invalid`. Dimensão da métrica: `UserPool`, `UserPoolClient` Unidades: contagem | AWS/Cognito |
| TokenRefreshThrottles | Fornece o número total de solicitações com controle de utilização de atualização de um token do Amazon Cognito que foram feitas para o grupo de usuários do Amazon Cognito. Uma contagem de 1 é publicada sempre que uma solicitação de atualização de token do Amazon Cognito tem controle de utilização. Para contar o número total de solicitações com controle de utilização para atualizar um token do Amazon Cognito, use a estatística `Sum` para essa métrica. Essa métrica é publicada para cada grupo de usuários para cada cliente. Caso um cliente de grupo de usuários inválido seja fornecido com uma solicitação, o valor de cliente de grupo de usuários correspondente na métrica conterá um valor fixo `Invalid` em vez do valor inválido real enviado na solicitação. Dimensão da métrica: `UserPool`, `UserPoolClient` Unidades: contagem | AWS/Cognito |
| FederationSuccesses | Fornece o número total de solicitações bem-sucedidas de federação de identidades feitas ao grupo de usuários do Amazon Cognito. Uma federação de identidades é considerada bem-sucedida quando o Amazon Cognito emite tokens de autenticação para o usuário. Uma solicitação de federação de identidades bem-sucedida produz um valor de 1, enquanto uma solicitação malsucedida produz um valor de 0. Solicitações com controle de utilização e solicitações que geram um código de autorização, mas nenhum token, produzem um valor de 0. Para descobrir a porcentagem de solicitações de federação de identidades bem-sucedidas, use a estatística `Average` nessa métrica. Para contar o número total de solicitações de federação de identidades, use a estatística `Sample Count` nessa métrica. Para contar o número total de solicitações bem-sucedidas de federação de identidades, use a estatística `Sum` nessa métrica. Para contar o número total de solicitações de federação de identidade com falha, use a CloudWatch `Math` expressão e subtraia a `Sum` estatística da `Sample Count` estatística. Dimensão de métrica: `UserPool`, `UserPoolClient`, `IdentityProvider` Unidades: contagem | AWS/Cognito |
| FederationThrottles | Fornece o número total de solicitações limitadas de federação de identidades feitas ao grupo de usuários do Amazon Cognito. Uma contagem de 1 é publicada sempre que uma solicitação de federação de identidades tem controle de utilização. Para contar o número total de solicitações de federação de identidades limitadas, use a estatística `Sum` para essa métrica. Dimensão de métrica: `UserPool`, `UserPoolClient`, `IdentityProvider` Unidades: contagem | AWS/Cognito |
| CallCount | Fornece o número total de chamadas feitas pelos clientes em relação a uma categoria. Essa métrica inclui todas as chamadas, como chamadas com controle de utilização, chamadas com falha e chamadas bem-sucedidas. A cota de categoria é aplicada para cada AWS conta em todos os grupos de usuários em uma conta e região. Você pode contar o número total de chamadas em uma categoria usando a estatística `Sum` para essa métrica. Dimensão métrica: Serviço, Tipo, Recurso, Classe Unidades: contagem | AWS/Usage |
| ThrottleCount | Fornece o número total de chamadas com controle de utilização relacionadas a uma categoria. Essa métrica é publicada no nível da conta. Você pode contar o número total de chamadas em uma categoria usando a estatística `Sum` para essa métrica. Dimensão métrica: Serviço, Tipo, Recurso, Classe Unidades: contagem | AWS/Usage |
## Como exibir métricas de proteção contra ameaças
As métricas que seu grupo de usuários publica têm informações estatísticas sobre o efeito que as configurações de proteção contra ameaças têm na atividade de autenticação do usuário. Talvez você queira saber quantos usuários estão tentando entrar com credenciais comprometidas. Você também pode descobrir qual porcentagem da atividade de login foi avaliada por conter certo nível de risco. O Amazon Cognito publica métricas para recursos de proteção contra ameaças em sua conta na Amazon. CloudWatch O Amazon Cognito agrupa as métricas de proteção contra ameaças com base nos níveis de risco e no nível de solicitação.
Para adicionar contexto à sua análise de risco, você pode [visualizar informações sobre tentativas individuais de login de usuários](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history) tanto no grupo de usuários como em uma fonte de dados exportada.
**Para visualizar métricas no CloudWatch console**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Métricas**.
1. Escolha Amazon Cognito.
1. Escolha um grupo de métricas agregadas, como **By Risk Classification (Por classificação de risco)**.
1. A guia **All metrics (Todas as métricas)** exibe todas as métricas da opção escolhida. Você pode fazer o seguinte:
+ Para classificar a tabela, use o cabeçalho da coluna.
+ Para criar um gráfico de uma métrica, marque a caixa de seleção ao lado da métrica. Para selecionar todas as métricas, marque a caixa de seleção na linha de cabeçalho da tabela.
+ Para filtrar por recurso, escolha o ID do recurso e **Add to search (Adicionar à pesquisa)**.
+ Para filtrar por métrica, escolha o nome da métrica e **Add to search (Adicionar à pesquisa)**.
| Métrica | Description | Dimensões da métrica | Namespace |
| --- | --- | --- | --- |
| CompromisedCredentialRisk | Solicitações em que o Amazon Cognito detectou credenciais comprometidas. | Operação: o tipo de operação. `PasswordChange`, `SignIn`, ou `SignUp` são as únicas dimensões. UserPoolId: o identificador do grupo de usuários. RiskLevel: alto (padrão), médio ou baixo. | AWS/Cognito |
| AccountTakeoverRisk | Solicitações em que o Amazon Cognito detectou risco de tomada de controle da conta. | Operação: o tipo de operação. `PasswordChange`, `SignIn`, ou `SignUp` são as únicas dimensões. UserPoolId: o identificador do grupo de usuários. RiskLevel: alto, médio ou baixo. | AWS/Cognito |
| OverrideBlock | Solicitações que o Amazon Cognito bloqueou por causa da configuração fornecida pelo desenvolvedor. | Operação: o tipo de operação. `PasswordChange`, `SignIn`, ou `SignUp` são as únicas dimensões. UserPoolId: o identificador do grupo de usuários. RiskLevel: alto, médio ou baixo. | AWS/Cognito |
| Risco | Solicitações que o Amazon Cognito marcou como arriscadas. | Operation: o tipo de operação, como `PasswordChange`, `SignIn` ou `SignUp`. UserPoolId: o identificador do grupo de usuários. | AWS/Cognito |
| NoRisk | Solicitações em que o Amazon Cognito não identificou qualquer risco. | Operation: o tipo de operação, como `PasswordChange`, `SignIn` ou `SignUp`. UserPoolId: o identificador do grupo de usuários. | AWS/Cognito |
O Amazon Cognito oferece dois grupos predefinidos de métricas para análise pronta. CloudWatch **By Risk Classification** (Por classificação de risco) identifica a granularidade do nível de risco para solicitações que o Amazon Cognito identifica como arriscadas. **By Request Classification** (Por classificação de solicitação) reflete métricas agregadas pelo nível de solicitação.
| Grupo de métricas agregadas | Description |
| --- | --- |
| Por classificação de risco | Solicitações que o Amazon Cognito identifica como arriscadas. |
| Por classificação de solicitação | Métricas agregadas por solicitação. |
## Dimensões dos grupos de usuários do Amazon Cognito
As dimensões a seguir são usadas para refinar as métricas de uso publicadas pelo Amazon Cognito. As dimensões só se aplicam às métricas `CallCount` e `ThrottleCount `.
| Dimensão | Descrição |
| --- | --- |
| Serviço | O nome do AWS serviço que contém o recurso. Para as métricas de uso do Amazon Cognito, o valor dessa dimensão é `Cognito user pool`. |
| Tipo | O tipo de entidade que está sendo relatado. O único valor válido para métricas de uso do Amazon Cognito é API. |
| Recurso | O tipo de recurso que está em execução. O único valor válido é o nome da categoria. |
| Classe | A classe do recurso sob acompanhamento. O Amazon Cognito não usa a dimensão de classe. |
## Use o CloudWatch console para monitorar métricas
Você pode rastrear e coletar métricas de grupos de usuários do Amazon Cognito usando. CloudWatch O CloudWatch painel exibirá métricas sobre cada AWS serviço que você usa. Você pode usar CloudWatch para criar alarmes métricos. Os alarmes podem ser configurados para enviar a você notificações ou alterar um recurso específico que você está monitorando. Para visualizar as métricas da cota de serviço em CloudWatch, conclua as etapas a seguir.
1. Abra o [console do CloudWatch](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Metrics** (Métricas).
1. Em **All metrics** (Todas as métricas), selecione uma métrica e uma dimensão.
1. Marque a caixa de seleção ao lado de uma métrica. As métricas serão exibidas no gráfico.
**nota**
As métricas que não tiverem tido novos pontos de dados nas últimas duas semanas não serão exibidas no console. Elas também não serão exibidas quando você digitar o nome da métrica ou os nomes de dimensão na caixa de pesquisa na guia All metrics (Todas as métricas) do console e não serão retornadas nos resultados de um comando list-metrics. A melhor maneira de recuperar essas métricas é com os comandos `get-metric-data` ou `get-metric-statistics` na CLI da AWS .
## Crie um CloudWatch alarme para uma cota
O Amazon Cognito fornece métricas CloudWatch de uso que correspondem às cotas AWS de serviço para e. `CallCount` `ThrottleCount` APIs Para obter mais informações sobre o rastreamento do uso em CloudWatch, consulte[Rastrear o uso da cota](quotas.md#track-quota-usage).
No console do Service Quotas, é possível criar alarmes que alertarão você quando o uso se aproximar de uma cota de serviço. Para saber como configurar um CloudWatch alarme usando o console Service Quotas, consulte [Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/configure-cloudwatch.html) e alarmes. CloudWatch
# Métricas no Service Quotas
É possível visualizar e gerenciar as cotas de grupos de usuários e de bancos de identidades do Amazon Cognito em um local central com o Service Quotas. É possível usar o console do Service Quotas para visualizar detalhes sobre uma cota específica, monitorar a utilização da cota e solicitar um aumento da cota. Para alguns tipos de cota, você pode criar um CloudWatch alarme para rastrear a utilização da cota. Para saber mais sobre quais métricas do Amazon Cognito você pode monitorar, consulte [Rastrear o uso da cota](quotas.md#track-quota-usage).
**Para visualizar a utilização de Service quotas de grupos de usuários e bancos de identidades do Amazon Cognito, conclua as etapas a seguir.**
1. Abra o [console do Service Quotas](https://console.aws.amazon.com/servicequotas/).
1. No painel de navegação, escolha **Serviços da AWS **.
1. Na lista de **Serviços da AWS **, pesquise e escolha **Grupos de usuários do Amazon Cognito** ou **Identidades federadas do Amazon Cognito**. A página de cota de serviço é exibida.
1. Selecione uma cota que ofereça suporte ao CloudWatch monitoramento. Por exemplo, escolha `Rate of UserAuthentication requests` em grupos de usuários do Amazon Cognito.
1. Role para baixo até **Monitoring** (Monitoramento). Essa seção aparece somente para cotas que oferecem suporte ao CloudWatch monitoramento.
1. Em **Monitoring** (Monitoramento), você pode visualizar a utilização atual da cota de serviço no gráfico.
1. Em **Monitoring** (Monitoramento), selecione uma hora, três horas, doze horas, um dia, três dias ou uma semana.
1. Selecione qualquer área dentro do gráfico para exibir a porcentagem de utilização da cota de serviço. A partir daqui, você pode adicionar o gráfico ao seu painel ou usar o menu de ação para selecionar **Exibir em métricas**, que o levará às métricas relacionadas no CloudWatch console.
# Login no Amazon Cognito AWS CloudTrail
O Amazon Cognito é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Amazon Cognito. CloudTrail captura um subconjunto de chamadas de API para o Amazon Cognito como eventos, incluindo chamadas do console do Amazon Cognito e de chamadas de código para as operações da API do Amazon Cognito. Se você criar uma trilha, poderá optar por entregar CloudTrail eventos em um bucket do Amazon S3, incluindo eventos para o Amazon Cognito. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Amazon Cognito, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Você também pode criar CloudWatch alarmes da Amazon para CloudTrail eventos específicos. Por exemplo, você pode configurar o CloudWatch para acionar um alarme se uma configuração de grupo de identidades for alterada. Para obter mais informações, consulte [Criação de CloudWatch alarmes para CloudTrail eventos: exemplos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html).
**Topics**
+ [Informações que o Amazon Cognito envia para CloudTrail](#amazon-cognito-info-in-cloudtrail)
+ [Análise de CloudTrail eventos do Amazon Cognito com o Amazon Logs Insights CloudWatch](#analyzingcteventscwinsight)
+ [Exemplo de eventos do Amazon Cognito](understanding-amazon-cognito-entries.md)
## Informações que o Amazon Cognito envia para CloudTrail
CloudTrail é ativado quando você cria seu Conta da AWS. **Quando uma atividade de evento suportada ocorre no Amazon Cognito, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos.** Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo de eventos em sua AWS conta, incluindo eventos para o Amazon Cognito, crie uma trilha. Uma CloudTrail trilha entrega arquivos de log para um bucket do Amazon S3. Por padrão, quando uma trilha é criada no console, a mesma é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail serviços e integrações suportados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-list)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [Recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
+ Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
**Dados confidenciais em AWS CloudTrail**
Como grupos de usuários e grupos de identidades processam dados do usuário, o Amazon Cognito obscurece alguns campos privados em seus CloudTrail eventos com o valor. `HIDDEN_DUE_TO_SECURITY_REASONS` Para ver exemplos de campos que o Amazon Cognito não preenche para eventos, consulte [Exemplo de eventos do Amazon Cognito](understanding-amazon-cognito-entries.md). O Amazon Cognito oculta apenas alguns campos que normalmente contêm informações do usuário, como senhas e tokens. O Amazon Cognito não realiza nenhuma detecção ou mascaramento automático de informações de identificação pessoal que você preenche em campos não privados em suas solicitações de API.
### Eventos de grupos de usuários
O Amazon Cognito suporta o registro em log de todas as ações listadas na página de [ações do grupo de usuários](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_Operations.html) como eventos em arquivos de CloudTrail log. O Amazon Cognito registra eventos do grupo de usuários CloudTrail como eventos de *gerenciamento*.
O `eventType` campo em uma CloudTrail entrada de grupos de usuários do Amazon Cognito informa se seu aplicativo fez a solicitação para a API de [grupos de usuários do Amazon Cognito](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html) ou para [um endpoint que fornece recursos para OpenID Connect, SAML](cognito-userpools-server-contract-reference.md) 2.0 ou páginas de login gerenciadas. As solicitações de API têm um `eventType` de `AwsApiCall` e as solicitações de endpoint têm um `eventType` de `AwsServiceEvent`.
O Amazon Cognito registra as seguintes solicitações em seus serviços de login gerenciados como eventos em. CloudTrail
------
#### [ Hosted UI (classic) events ]
**Eventos de UI hospedados (clássicos) em CloudTrail**
| Operation | Description |
| --- | --- |
| Login\$1GET, CognitoAuthentication | Um usuário visualiza ou envia credenciais para o [Endpoint de login](login-endpoint.md). |
| OAuth2\$1Authorize\$1GET, Beta\$1Authorize\$1GET | Um usuário visualiza o [Autorizar endpoint](authorization-endpoint.md). |
| OAuth2Response\$1GET, OAuth2Response\$1POST | Um usuário envia um token de IdP ao endpoint /oauth2/idpresponse. |
| SAML2Response\$1POST, Beta\$1SAML2Response\$1POST | Um usuário envia uma afirmação SAML do IdP ao endpoint /saml2/idpresponse. |
| Login\$1OIDC\$1SAML\$1POST | Um usuário insere um nome de usuário no [Endpoint de login](login-endpoint.md) e ele corresponde a um [identificador IdP](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-integrating-3rd-party-saml-providers.html). |
| Token\$1POST, Beta\$1Token\$1POST | Um usuário envia um código de autorização ao [Endpoint de token](token-endpoint.md). |
| Signup\$1GET, Signup\$1POST | Um usuário envia informações de login ao endpoint /signup. |
| Confirm\$1GET, Confirm\$1POST | Um usuário envia um código de confirmação na interface do usuário hospedada. |
| ResendCode\$1POST | Um usuário envia uma solicitação de reenvio de código de confirmação na interface do usuário hospedada. |
| ForgotPassword\$1GET, ForgotPassword\$1POST | Um usuário envia uma solicitação de redefinição de senha ao endpoint /forgotPassword. |
| ConfirmForgotPassword\$1GET, ConfirmForgotPassword\$1POST | Um usuário envia um código ao endpoint /confirmForgotPassword que confirma a solicitação de ForgotPassword. |
| ResetPassword\$1GET, ResetPassword\$1POST | Um usuário envia uma nova senha na interface do usuário hospedada. |
| Mfa\$1GET, Mfa\$1POST | Um usuário envia um código de autenticação multifator (MFA) na interface do usuário hospedada. |
| MfaOption\$1GET, MfaOption\$1POST | Um usuário escolhe seu método preferido de MFA na interface do usuário hospedada. |
| MfaRegister\$1GET, MfaRegister\$1POST | Um usuário envia um código de autenticação multifator (MFA) na interface do usuário hospedada ao registrar a MFA. |
| Logout | Um usuário faz logout no endpoint /logout. |
| SAML2Logout\$1POST | Um usuário faz logout no endpoint /saml2/logout. |
| Error\$1GET | Um usuário visualiza uma página de erro na interface do usuário hospedada. |
| UserInfo\$1GET, UserInfo\$1POST | Um usuário ou IdP troca informações com o [endpoint userinfo](userinfo-endpoint.md). |
| Confirm\$1With\$1Link\$1GET | Um usuário envia uma confirmação baseada em um link que o Amazon Cognito enviou em uma mensagem de e-mail. |
| Event\$1Feedback\$1GET | Um usuário envia feedback para o Amazon Cognito sobre um evento de [proteção contra ameaças](cognito-user-pool-settings-threat-protection.md). |
------
#### [ Managed login events ]
**Eventos de login gerenciados em CloudTrail**
| Operation | Description |
| --- | --- |
| login\$1POST | Um usuário envia credenciais para o [Endpoint de login](login-endpoint.md). |
| login\$1continue\$1POST | Um usuário que já fez login uma vez opta por fazer login novamente. |
| forgotPassword\$1POST | Um usuário redefine sua senha. |
| selectChallenge\$1POST | Um usuário responde a um desafio de autenticação após enviar seu nome de usuário ou credenciais. |
| confirmUser\$1GET | Um usuário abre o link em uma [mensagem de e-mail de confirmação ou verificação](signing-up-users-in-your-app.md). |
| mfa\$1back\$1POST | Um usuário clica no botão Voltar após uma solicitação de MFA. |
| mfa\$1options\$1POST | Um usuário seleciona uma opção de MFA. |
| mfa\$1phone\$1register\$1POST | Um usuário envia um número de telefone para registrar como fator de MFA. Essa operação faz com que o Amazon Cognito envie um código de MFA para seu número de telefone. |
| mfa\$1phone\$1verify\$1POST | Um usuário envia um código de MFA enviado para seu número de telefone. |
| mfa\$1phone\$1resendCode\$1POST | Um usuário envia uma solicitação de reenvio de código de MFA para seu número de telefone. |
| mfa\$1totp\$1POST | Um usuário envia um código MFA de TOTP. |
| signup\$1POST | Um usuário envia informações para sua página de login gerenciado /signup. |
| signup\$1confirm\$1POST | Um usuário envia um código de confirmação enviado por e-mail ou SMS. |
| verifyCode\$1POST | Um usuário envia uma senha de uso único (OTP) para autenticação sem senha. |
| passkeys\$1add\$1POST | Um usuário envia uma solicitação de registro de nova credencial de chave de acesso. |
| passkeys\$1add\$1GET | Um usuário navega até a página onde pode registrar uma chave de acesso. |
| login\$1passkey\$1POST | Um usuário faz login com uma chave de acesso. |
------
**nota**
O Amazon Cognito registra`UserSub`, mas não `UserName` em CloudTrail registros, solicitações específicas de um usuário. Você pode encontrar um usuário para um determinado `UserSub` chamando a API `ListUsers` e usando um filtro para sub.
### Eventos de bancos de identidades
**Eventos de dados**
*O Amazon Cognito registra os seguintes eventos de identidade do Amazon Cognito como eventos CloudTrail de dados.* [Eventos de dados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) são operações de API de plano de dados de alto volume que CloudTrail não são registradas por padrão. Há cobranças adicionais para eventos de dados.
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UnlinkIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UnlinkIdentity.html)
Para gerar CloudTrail registros para essas operações de API, você deve ativar eventos de dados em sua trilha e escolher seletores de eventos para os grupos de identidade do **Cognito**. Para obter mais informações, consulte [Registro eventos de dados em logs para trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) no *Guia do usuário do AWS CloudTrail *.
Você também pode adicionar seletores de eventos de grupos de identidades à sua trilha com o comando da CLI a seguir.
```
aws cloudtrail put-event-selectors --trail-name --advanced-event-selectors \
"{\
\"Name\": \"Cognito Selector\",\
\"FieldSelectors\": [\
{\
\"Field\": \"eventCategory\",\
\"Equals\": [\
\"Data\"\
]\
},\
{\
\"Field\": \"resources.type\",\
\"Equals\": [\
\"AWS::Cognito::IdentityPool\"\
]\
}\
]\
}"
```
**Eventos de gerenciamento**
*O Amazon Cognito registra o restante das operações de API dos grupos de identidade do Amazon Cognito como eventos de gerenciamento.* CloudTrail operações de API de eventos de gerenciamento de registros por padrão.
Para obter uma lista das operações de API dos grupos de identidades do Amazon Cognito nas quais o Amazon Cognito faz login CloudTrail, consulte a Referência da API dos grupos de identidades do Amazon [Cognito](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_Operations.html).
**Amazon Cognito Sync**
O Amazon Cognito registra todas as operações da API do Amazon Cognito Sync como eventos de gerenciamento. Para obter uma lista das operações da API Amazon Cognito Sync nas quais o Amazon Cognito faz login, consulte a Referência CloudTrail da API Amazon [Cognito](https://docs.aws.amazon.com/cognitosync/latest/APIReference/API_Operations.html) Sync.
## Análise de CloudTrail eventos do Amazon Cognito com o Amazon Logs Insights CloudWatch
Você pode pesquisar e analisar seus CloudTrail eventos do Amazon Cognito com o Amazon CloudWatch Logs Insights. Quando você configura sua trilha para enviar eventos para o CloudWatch Logs, CloudTrail envia somente os eventos que correspondem às suas configurações de trilha.
Para consultar ou pesquisar seus CloudTrail eventos do Amazon Cognito, no CloudTrail console, certifique-se de selecionar a opção **Gerenciamento de eventos** nas configurações da trilha para poder monitorar as operações de gerenciamento realizadas em seus AWS recursos. Você pode selecionar a opção **Eventos do Insights** nas configurações de trilha quando quiser identificar erros, atividades ou comportamento incomuns do usuário em sua conta.
### Exemplos de consultas do Amazon Cognito
Você pode usar as seguintes consultas no CloudWatch console da Amazon.
**Consultas gerais**
Encontre os 25 eventos de log adicionados mais recentemente.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"
```
Obtenha uma lista dos 25 eventos de log adicionados mais recentemente que incluem exceções.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
```
**Consultas de exceção e erro**
Encontre os 25 eventos de log adicionados mais recentemente com código de erro `NotAuthorizedException` junto com o grupo de usuários do Amazon Cognito `sub`.
```
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
```
Encontre o número de registros com `sourceIPAddress` e o correspondente `eventName`.
```
filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventName
```
Encontre os 25 principais endereços IP que acionaram um erro de `NotAuthorizedException`.
```
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25
```
Encontre os 25 principais endereços IP que chamaram a API `ForgotPassword`.
```
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25
```
# Exemplo de eventos do Amazon Cognito
O Amazon Cognito registra informações AWS CloudTrail sobre a atividade de autenticação do usuário e a atividade de gerenciamento administrativo. Isso se aplica tanto aos grupos de usuários quanto aos bancos de identidades. Por exemplo, você pode ver eventos `GetId` e `UpdateIdentityPool` na mesma trilha ou eventos `UpdateAuthEventFeedback` e `SetRiskConfiguration`. Você também verá logs de grupos de usuários para atividades de interface de usuário hospedadas que não correspondem às operações na API de grupos de usuários. Esta seção mostra alguns exemplos de logs que você pode encontrar. Para entender o esquema de CloudTrail eventos de qualquer operação, gere uma solicitação para essa operação e analise os eventos que ela cria em sua trilha.
Uma trilha pode entregar eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
**Topics**
+ [Exemplos de CloudTrail eventos para uma inscrição de interface de usuário hospedada](#cognito-cloudtrail-events-federated-sign-up)
+ [Exemplo de CloudTrail evento para uma solicitação SAML](#cognito-cloudtrail-event-saml-post)
+ [Exemplos de CloudTrail eventos para solicitações ao endpoint do token](#cognito-cloudtrail-events-token-endpoint-requests)
+ [Exemplo de CloudTrail evento para CreateIdentityPool](#cognito-cloudtrail-events-createidentitypool)
+ [Exemplo de CloudTrail evento para GetCredentialsForIdentity](#cognito-cloudtrail-events-getcredentialsforidentity)
+ [Exemplo de CloudTrail evento para GetId](#cognito-cloudtrail-events-getid)
+ [Exemplo de CloudTrail evento para GetOpenIdToken](#cognito-cloudtrail-events-getopenidtoken)
+ [Exemplo de CloudTrail evento para GetOpenIdTokenForDeveloperIdentity](#cognito-cloudtrail-events-getopenidtokenfordeveloperidentity)
+ [Exemplo de CloudTrail evento para UnlinkIdentity](#cognito-cloudtrail-events-unlinkidentity)
## Exemplos de CloudTrail eventos para uma inscrição de interface de usuário hospedada
Os CloudTrail eventos de exemplo a seguir demonstram as informações que o Amazon Cognito registra quando um usuário se cadastra por meio da interface de usuário hospedada.
O Amazon Cognito registra o seguinte evento quando um novo usuário navega até a página de login da aplicação.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-04-06T05:38:12Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Login_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"errorCode": "",
"errorMessage": "",
"additionalEventData":
{
"responseParameters":
{
"status": 200.0
},
"requestParameters":
{
"redirect_uri":
[
"https://www.amazon.com"
],
"response_type":
[
"token"
],
"client_id":
[
"1example23456789"
]
}
},
"eventID": "382ae09a-151d-4116-8f2b-6ac0a804a38c",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
O Amazon Cognito registra o evento a seguir quando um novo usuário escolhe **Sign up** (Cadastrar-se) na página de login da aplicação.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:21:43Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Signup_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"response_type":
[
"code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "7a63e7c2-b057-4f3d-a171-9d9113264fff",
"eventID": "5e7b27a0-6870-4226-adb4-f86cd51ac5d8",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
O Amazon Cognito registra o evento a seguir quando um novo usuário seleciona um nome de usuário, insere um endereço de e-mail e escolhe uma senha na página de login da aplicação. O Amazon Cognito não registra informações de identificação sobre a identidade do usuário no. CloudTrail
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:22:05Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Signup_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"password":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"requiredAttributes[email]":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"response_type":
[
"code"
],
"_csrf":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
],
"username":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "9ad58dd8-3517-4aa8-96a5-d17a01df9eb4",
"eventID": "c75eb7a5-eb8c-43d1-8331-f4412e756e69",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
O Amazon Cognito registra o evento a seguir quando um novo usuário acessa a página de confirmação do usuário na interface do usuário hospedada após se cadastrar.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:22:06Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Confirm_GET",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"response_type":
[
"code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "58a5b170-3127-45bb-88cc-3e652d779e0b",
"eventID": "7f87291a-6d50-409a-822f-e3a5ec7e60da",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
O Amazon Cognito registra o evento a seguir quando, na página de confirmação do usuário na interface do usuário hospedada, um usuário insere um código enviado pelo Amazon Cognito em uma mensagem de e-mail.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-05T23:23:32Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Confirm_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"confirm":
[
""
],
"deliveryMedium":
[
"EMAIL"
],
"sub":
[
"704b1e47-34fe-40e9-8c41-504997494531"
],
"code":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"destination":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"response_type":
[
"code"
],
"_csrf":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"cognitoAsfData":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
],
"username":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "9764300a-ed35-4f87-8a0f-b18b3fe2b11e",
"eventID": "e24ac6e5-2f70-4c6e-ad4e-2f08a547bb36",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Exemplo de CloudTrail evento para uma solicitação SAML
O Amazon Cognito registra o seguinte evento quando um usuário que foi autenticado com seu IdP SAML envia a afirmação SAML ao endpoint `/saml2/idpresponse`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-06T00:50:57Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "SAML2Response_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 302
},
"requestParameters":
{
"RelayState":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"SAMLResponse":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "4f6f15d1-c370-4a57-87f0-aac4817803f7",
"eventID": "9824b50f-d9d1-4fb8-a2c1-6aa78ca5902a",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "625647942648",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Exemplos de CloudTrail eventos para solicitações ao endpoint do token
A seguir, exemplos de eventos de solicitações ao [Endpoint de token](token-endpoint.md).
O Amazon Cognito registra o evento a seguir quando um usuário que foi autenticado e recebeu um código de autorização envia o código ao endpoint `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T22:12:30Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"code":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"grant_type":
[
"authorization_code"
],
"redirect_uri":
[
"https://www.amazon.com"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "f257f752-cc14-4c52-ad5b-152a46915238",
"eventID": "0bd1586d-cd3e-4d7a-abaf-fd8bfc3912fd",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
O Amazon Cognito registra o evento a seguir quando o sistema de back-end envia uma solicitação de `client_credentials` para um token de acesso ao endpoint `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T21:07:05Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"grant_type":
[
"client_credentials"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "4f871256-6825-488a-871b-c2d9f55caff2",
"eventID": "473e5cbc-a5b3-4578-9ad6-3dfdcb8a6d34",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
O Amazon Cognito registra o evento a seguir quando a aplicação troca um token de atualização por um novo ID e token de acesso com o endpoint `/oauth2/token`.
```
{
"eventVersion": "1.08",
"userIdentity":
{
"accountId": "123456789012"
},
"eventTime": "2022-05-12T22:16:40Z",
"eventSource": "cognito-idp.amazonaws.com",
"eventName": "Token_POST",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": null,
"responseElements": null,
"additionalEventData":
{
"responseParameters":
{
"status": 200
},
"requestParameters":
{
"refresh_token":
[
"HIDDEN_DUE_TO_SECURITY_REASONS"
],
"grant_type":
[
"refresh_token"
],
"client_id":
[
"1example23456789"
]
},
"userPoolDomain": "mydomain.auth.us-west-2.amazoncognito.com",
"userPoolId": "us-west-2_EXAMPLE"
},
"requestID": "2829f0c6-a3a9-4584-b046-11756dfe8a81",
"eventID": "12bd3464-59c7-44fa-b8ff-67e1cf092018",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails":
{
"serviceAccountId": "111122223333"
},
"eventCategory": "Management"
}
```
## Exemplo de CloudTrail evento para CreateIdentityPool
O exemplo a seguir é uma entrada de log de uma solicitação da ação `CreateIdentityPool`. A solicitação foi feita por uma usuária do IAM chamada Alice.
```
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "PRINCIPAL_ID",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "['EXAMPLE_KEY_ID']",
"userName": "Alice"
},
"eventTime": "2016-01-07T02:04:30Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "CreateIdentityPool",
"awsRegion": "us-east-1",
"sourceIPAddress": "127.0.0.1",
"userAgent": "USER_AGENT",
"requestParameters": {
"identityPoolName": "TestPool",
"allowUnauthenticatedIdentities": true,
"supportedLoginProviders": {
"graph.facebook.com": "000000000000000"
}
},
"responseElements": {
"identityPoolName": "TestPool",
"identityPoolId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"allowUnauthenticatedIdentities": true,
"supportedLoginProviders": {
"graph.facebook.com": "000000000000000"
}
},
"requestID": "15cc73a1-0780-460c-91e8-e12ef034e116",
"eventID": "f1d47f93-c708-495b-bff1-cb935a6064b2",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo de CloudTrail evento para GetCredentialsForIdentity
O exemplo a seguir é uma entrada de log de uma solicitação da ação `GetCredentialsForIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetCredentialsForIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
"expiration": "Jan 19, 2023 5:55:08 PM"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
"eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Exemplo de CloudTrail evento para GetId
O exemplo a seguir é uma entrada de log de uma solicitação da ação `GetId`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:05Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetId",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-id",
"requestParameters": {
"identityPoolId": "us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE",
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "dc28def9-07c8-460a-a8f3-3816229e6664",
"eventID": "c5c459d9-40ec-41fd-8f6b-57865d5a9975",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Exemplo de CloudTrail evento para GetOpenIdToken
O exemplo a seguir é uma entrada de log de uma solicitação da ação `GetOpenIdToken`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetOpenIdToken",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-open-id-token",
"requestParameters": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "a506ba18-10d7-4fdb-9548-a8187b2e38bb",
"eventID": "19ffc1a6-6ed8-4580-a4e1-3062c5ce6457",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Exemplo de CloudTrail evento para GetOpenIdTokenForDeveloperIdentity
O exemplo a seguir é uma entrada de log de uma solicitação da ação `GetOpenIdTokenForDeveloperIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA1EXAMPLE:johns-AssumedRoleSession",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/johns-AssumedRoleSession",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2023-01-19T16:53:14Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetOpenIdTokenForDeveloperIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "27.0.3.154",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-open-id-token-for-developer-identity",
"requestParameters": {
"tokenDuration": 900,
"identityPoolId": "us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE",
"logins": {
"JohnsDeveloperProvider": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
},
"responseElements": {
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "b807df87-57e7-4dd6-b90c-b06f46a61c21",
"eventID": "f26fed91-3340-4d70-91ae-cdf555547b76",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## Exemplo de CloudTrail evento para UnlinkIdentity
O exemplo a seguir é uma entrada de log de uma solicitação da ação `UnlinkIdentity`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "UnlinkIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.unlink-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE",
"loginsToRemove": ["cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa"]
},
"responseElements": null,
"requestID": "99c2c8e2-9c29-416f-bb17-b650a5cbada9",
"eventID": "d8e26126-202a-43c2-b458-3f225efaedc7",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```