As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
CloudTrail casos de uso do IAM Identity Center
Os CloudTrail eventos que o IAM Identity Center emite podem ser valiosos para uma variedade de casos de uso. As organizações podem usar esses registros de eventos para monitorar e auditar o acesso e a atividade do usuário em seu AWS ambiente. Isso pode ajudar nos casos de uso de conformidade, pois os registros capturam detalhes sobre quem está acessando quais recursos e quando. Você também pode usar os CloudTrail dados para investigações de incidentes, permitindo que as equipes analisem as ações dos usuários e rastreiem comportamentos suspeitos. Além disso, o histórico de eventos pode apoiar os esforços de solução de problemas, fornecendo visibilidade das alterações feitas nas permissões e configurações do usuário ao longo do tempo.
As seções a seguir descrevem os casos de uso fundamentais que informam seus fluxos de trabalho, como auditoria, investigação de incidentes e solução de problemas.
Identificação do usuário nos eventos iniciados pelo usuário CloudTrail do IAM Identity Center
O IAM Identity Center emite dois CloudTrail campos que permitem identificar o usuário do IAM Identity Center por trás dos CloudTrail eventos, como fazer login no IAM Identity Center ou usar o portal de AWS acesso AWS CLI, incluindo o gerenciamento de dispositivos de MFA:
-
userId
— O identificador de usuário exclusivo e imutável do Identity Store de uma instância do IAM Identity Center. -
identityStoreArn
— O Amazon Resource Name (ARN) do Identity Store que contém o usuário.
Os identityStoreArn
campos userID
e são exibidos no onBehalfOf
elemento aninhado dentro do userIdentity
elemento, conforme mostrado no exemplo de registro de CloudTrail eventos a seguir. Esse registro de eventos mostra esses dois campos em um evento em que o userIdentity
tipo é "IdentityCenterUser
”. Você também pode encontrar esses campos em eventos para usuários autenticados do IAM Identity Center em que o userIdentity
tipo é "Unknown
”. Seus fluxos de trabalho devem aceitar os dois valores de tipo.
"userIdentity":{ "type":"IdentityCenterUser", "accountId":"111122223333", "onBehalfOf": { "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1", "identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" }, "credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7" }
dica
Recomendamos que você use userId
e identityStoreArn
identifique o usuário por trás dos CloudTrail eventos do IAM Identity Center. Os principalId
campos userName
e abaixo do userIdentity
elemento não estão mais disponíveis. Se seus fluxos de trabalho, como auditoria ou resposta a incidentes, dependerem do acesso aousername
, você tem duas opções:
-
Recupere o nome de usuário do diretório do IAM Identity Center, conforme explicado emNome de usuário em eventos de login CloudTrail.
-
Obtenha o
UserName
que o IAM Identity Center emite sob oadditionalEventData
elemento em Sign-in. Essa opção não exige acesso ao diretório do IAM Identity Center. Para obter mais informações, consulte Nome de usuário em eventos de login CloudTrail.
Para recuperar os detalhes de um usuário, incluindo o username
campo, você consulta o Identity Store com o ID do usuário e o ID do Identity Store como parâmetros. Você pode realizar essa ação por meio da solicitação DescribeUser
da API ou da CLI. Veja a seguir um exemplo de comando da CLI. Você pode omitir o region
parâmetro se sua instância do IAM Identity Center estiver na região padrão da CLI.
aws identitystore describe-user \ --identity-store-id d-1234567890 \ --user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \ --region
your-region-id
Para determinar o valor do Identity Store ID para o comando CLI no exemplo anterior, você pode extrair o ID do Identity Store do identityStoreArn
valor. No ARN de exemploarn:aws:identitystore::111122223333:identitystore/d-1234567890
, o ID do Identity Store é. d-1234567890
Como alternativa, você pode localizar o ID do Identity Store navegando até a guia Identity Store na seção Configurações do console do IAM Identity Center.
Se você estiver automatizando a pesquisa de usuários no diretório do IAM Identity Center, recomendamos que você estime a frequência das pesquisas de usuários e considere o limite de aceleração do IAM Identity Center na API Identity Store. O armazenamento em cache dos atributos recuperados do usuário pode ajudá-lo a permanecer dentro do limite de aceleração.
Correlacionando eventos de usuário na mesma sessão de usuário
O AuthWorkflowIDcampo emitido em eventos de login permite rastrear todos os CloudTrail eventos associados a uma sequência de login antes do início de uma sessão de usuário do IAM Identity Center.
Para ações do usuário dentro do portal de AWS acesso, o credentialId
valor é definido como o ID da sessão do usuário do IAM Identity Center usada para solicitar a ação. Você pode usar esse valor para identificar CloudTrail eventos iniciados na mesma sessão de usuário autenticada do IAM Identity Center no portal de AWS acesso.
nota
Você não pode usar credentialId
para correlacionar eventos de login aos eventos subsequentes, como o uso do portal de acesso. AWS O valor do credentialId
campo emitido em eventos de login tem uso interno e recomendamos que você não confie nele. O valor do credentialId
campo emitido para eventos do portal de AWS acesso invocados com o OIDC é igual ao ID do token de acesso.
Identificação dos detalhes da sessão em segundo plano do usuário nos eventos iniciados pelo usuário CloudTrail do IAM Identity Center
O CloudTrail evento a seguir captura o processo de troca de tokens OAuth 2.0, no qual um token de acesso existente (osubjectToken
) que representa a sessão interativa do usuário é trocado por um token de atualização (o). requestedTokenType
O token de atualização permite que qualquer usuário inicie trabalhos de longa duração continuem sendo executados com as permissões do usuário, mesmo após o usuário sair.
Para sessões em segundo plano de usuários do IAM Identity Center, o CloudTrail evento inclui um elemento adicional chamado resource
no requestParameters
elemento. O resource
parâmetro contém o Amazon Resource Name (ARN) do trabalho executado em segundo plano. Esse elemento está presente somente nos registros de CloudTrail eventos e não está incluído nas respostas da API do IAM Identity Center ou do SDK.
{ "clientId": "EXAMPLE-CLIENT-ID", "grantType": "urn:ietf:params:oauth:grant-type:token-exchange", "code": "HIDDEN_DUE_TO_SECURITY_REASONS", "redirectUri": "https://example.com/callback", "assertion": "HIDDEN_DUE_TO_SECURITY_REASONS", "subjectToken": "HIDDEN_DUE_TO_SECURITY_REASONS", "subjectTokenType": "urn:ietf:params:oauth:token-type:access_token", "requestedTokenType": "urn:ietf:params:oauth:token-type:refresh_token", "resource": "arn:aws:sagemaker:us-west-2:123456789012:training-job/my-job" }
Correlacionando usuários entre o IAM Identity Center e diretórios externos
O IAM Identity Center fornece dois atributos de usuário que você pode usar para correlacionar um usuário em seu diretório com o mesmo usuário em um diretório externo (por exemplo, Microsoft Active Directory eOkta Universal Directory).
-
externalId
— O identificador externo de um usuário do IAM Identity Center. Recomendamos que você mapeie esse identificador para um identificador de usuário imutável no diretório externo. Observe que o IAM Identity Center não emite esse valor em CloudTrail. -
username
— Um valor fornecido pelo cliente com o qual os usuários geralmente fazem login. O valor pode mudar (por exemplo, com uma atualização do SCIM). Observe que, quando a fonte de identidade é AWS Directory Service, o nome de usuário que o IAM Identity Center emite CloudTrail corresponde ao nome de usuário que você digitou para autenticar. O nome de usuário não precisa corresponder exatamente ao nome de usuário no diretório do IAM Identity Center.Se você tiver acesso aos CloudTrail eventos, mas não ao diretório do IAM Identity Center, poderá usar o nome de usuário emitido sob o
additionalEventData
elemento no login. Para obter mais detalhes sobre o nome de usuário emadditionalEventData
, consulteNome de usuário em eventos de login CloudTrail.
O mapeamento desses dois atributos de usuário para os atributos de usuário correspondentes em um diretório externo é definido no IAM Identity Center quando a fonte de identidade é AWS Directory Service a. Para obter informações, consulte. Mapeamentos de atributos entre o IAM Identity Center e o diretório de provedores de identidade externos Externamente, IdPs esse provisionamento, os usuários com SCIM têm seu próprio mapeamento. Mesmo se você usar o diretório do IAM Identity Center como fonte de identidade, você pode usar o externalId
atributo para fazer referência cruzada de entidades de segurança ao seu diretório externo.
A seção a seguir explica como você pode pesquisar um usuário do IAM Identity Center considerando o username
externalId
e.
Visualização de um usuário do IAM Identity Center por nome de usuário e ID externo
Você pode recuperar atributos de usuário do diretório do IAM Identity Center para um nome de usuário conhecido solicitando primeiro um correspondente userId
usando a solicitação de GetUserId
API e, em seguida, emitindo uma solicitação de DescribeUser
API, conforme mostrado no exemplo anterior. O exemplo a seguir demonstra como você pode recuperar um userId
do Identity Store para um nome de usuário específico. Você pode omitir o region
parâmetro se sua instância do IAM Identity Center estiver na região padrão com a CLI.
aws identitystore get-user-id \ --identity-store d-9876543210 \ --alternate-identifier '{ "UniqueAttribute": { "AttributePath": "username", "AttributeValue": "
anyuser@example.com
" } }' \ --region your-region-id
Da mesma forma, você pode usar o mesmo mecanismo quando conhece externalId
o. Atualize o caminho do atributo no exemplo anterior com o externalId
valor e o valor do atributo com o específico externalId
que você está pesquisando.
Exibindo o Identificador Seguro (SID) de um usuário no Microsoft Active Directory (AD) e no ExternalID
Em certos casos, o IAM Identity Center emite o SID de um usuário no principalId
campo de CloudTrail eventos, como aqueles que o portal de AWS acesso e o APIs OIDC emitem. Esses casos estão sendo eliminados gradualmente. Recomendamos que seus fluxos de trabalho usem o atributo AD objectguid
quando você precisar de um identificador de usuário exclusivo do AD. Você pode encontrar esse valor no externalId
atributo no diretório do IAM Identity Center. No entanto, se seus fluxos de trabalho exigirem o uso de SID, recupere o valor do AD, pois ele não está disponível no IAM Identity Center. APIs
Correlacionando eventos de usuário na mesma sessão de usuáriodescreve como você pode usar os username
campos externalId
e para correlacionar um usuário do IAM Identity Center a um usuário correspondente em um diretório externo. Por padrão, o IAM Identity Center mapeia externalId
para o objectguid
atributo no AD, e esse mapeamento é fixo. O IAM Identity Center permite aos administradores a flexibilidade de mapear username
de forma diferente do mapeamento padrão para o userprincipalname
AD.
Você pode ver esses mapeamentos no console do IAM Identity Center. Navegue até a guia Fonte de identidade de Configurações e escolha Gerenciar sincronização no menu Ações. Na seção Gerenciar sincronização, escolha o botão Exibir mapeamentos de atributos.
Embora você possa usar qualquer identificador de usuário exclusivo do AD disponível no IAM Identity Center para pesquisar um usuário no AD, recomendamos usá-lo objectguid
em suas consultas porque é um identificador imutável. O exemplo a seguir mostra como consultar o Microsoft AD com o Powershell para recuperar um usuário usando o objectguid
valor do usuário de. 16809ecc-7225-4c20-ad98-30094aefdbca
Uma resposta bem-sucedida a essa consulta inclui o SID do usuário.
Install-WindowsFeature -Name RSAT-AD-PowerShell Get-ADUser ` -Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} ` -Properties *