IAM 身份中心信息位于 CloudTrail - Amazon IAM Identity Center
CloudTrail IAM 身份中心 API 操作的事件CloudTrail 身份存储 API 操作的事件CloudTrail OIDC API 操作的事件CloudTrail Amazon Web Services 访问门户 API 操作的事件IAM 身份中心 CloudTrail活动中的身份信息
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 身份中心信息位于 CloudTrail

CloudTrail 在您创建账户 Amazon Web Services 账户 时已在您的账户上启用。当 IAM Identity Center 中发生活动时,该活动会与其他 Amazon 服务 CloudTrail 事件一起记录在事件历史记录中。您可以在中查看、搜索和下载最近发生的事件 Amazon Web Services 账户。有关更多信息,请参阅使用事件历史查看 CloudTrail 事件

注意

有关 CloudTrail 事件中用户识别和用户操作跟踪如何演变的更多信息,请参阅Amazon 安全博客中的 IAM Identity Center CloudTrail 事件的重要更改

要持续记录您的事件 Amazon Web Services 账户,包括 IAM Identity Center 的事件,请创建跟踪。跟踪允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪时,此跟踪应用于所有 Amazon 区域。跟踪记录 Amazon 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 Amazon 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅《Amazon CloudTrail 用户指南》中的以下主题:

在您的中启用 CloudTrail 日志记录后 Amazon Web Services 账户,将在日志文件中跟踪对 IAM Identity Center 操作进行的 API 调用。IAM 身份中心记录与其他 Amazon 服务记录一起写入日志文件。 CloudTrail 根据时间段和文件大小决定何时创建和写入新文件。

CloudTrail 支持的 IAM 身份中心的事件 APIs

以下各节提供了与 IAM Identity Center 支持的以下内容 APIs 相关 CloudTrail 的事件的信息:

CloudTrail IAM 身份中心 API 操作的事件

以下列表包含公共 IAM Identity Center 操作通过sso.amazonaws.com事件源发出的事件。 CloudTrail 有关公开 IAM 身份中心 API 操作的更多信息,请参阅 IAM 身份中心 API 参考

您可能会在 CloudTrail 控制台所依赖的 IAM Identity Center 控制台 API 操作中找到其他事件。有关这些控制台的更多信息 APIs,请参阅服务授权参考

CloudTrail 身份存储 API 操作的事件

以下列表包含公共 Id CloudTrail entity Store 操作随identitystore.amazonaws.com事件源一起发出的事件。有关公共身份存储 API 操作的更多信息,请参阅身份存储 API 参考

您可能会在中看到与事件源相关 CloudTrail 的 Identity Store 控制台 API 操作的其他sso-directory.amazonaws.com事件。它们 APIs支持控制台和 Amazon Web Services 访问门户。如果您需要检测特定操作的发生,例如向群组添加成员,我们建议您同时考虑公共操作和控制台 API 操作。有关这些控制台的更多信息 APIs,请参阅服务授权参考

CloudTrail OIDC API 操作的事件

以下列表包含公共 OIDC 操作发出 CloudTrail 的事件。有关公开 OIDC API 操作的更多信息,请参阅 OIDC API 参

CloudTrail Amazon Web Services 访问门户 API 操作的事件

以下列表包含 Amazon Web Services 访问门户 API 操作随sso.amazonaws.com事件源一起发出的事件。 CloudTrail 公共 API 中标明不可用的 API 操作支持 Amazon Web Services 访问门户的操作。使用 Amazon CLI 可能会导致发布公共 Amazon Web Services 访问门户 API 操作和公共 API 中不可用的操作 CloudTrail 的事件。有关公共 Amazon Web Services 访问门户 API 操作的更多信息,请参阅Amazon Web Services 访问门户 API 参考

  • Authenticate (在公共 API 中不可用。 提供 Amazon Web Services 访问门户的登录信息。)

  • Federate (在公共 API 中不可用。 为应用程序提供联合。)

  • ListAccountRoles

  • ListAccounts

  • ListApplications (在公共 API 中不可用。 为用户提供分配的资源以显示在 Amazon Web Services 访问门户中。)

  • ListProfilesForApplication (在公共 API 中不可用。 提供应用程序元数据以显示在 Amazon Web Services 访问门户中。)

  • GetRoleCredentials

  • Logout

IAM 身份中心 CloudTrail活动中的身份信息

每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:

  • 请求是使用根用户还是 Amazon Identity and Access Management (IAM) 用户凭证发出。

  • 请求是使用角色还是联合用户的临时安全凭证发出的。

  • 请求是否由其他 Amazon 服务发出。

  • 请求是否由 IAM 身份中心用户发出。如果是,则 CloudTrail 事件中的userIdidentityStoreArn字段可用来识别发起请求的 IAM Identity Center 用户。有关更多信息,请参阅 在 IAM Identity Center 用户发起的事件中识别用户 CloudTrail 和会话

有关更多信息,请参阅 CloudTrail userIdentity 元素

注意

目前,IAM Identity Center 不会为以下操作发出 CloudTrail 事件:

  • 用户使用 OID C API 登录 Amazon 托管网络应用程序(例如 Amazon SageMaker AI Studio)。这些网络应用程序是更广泛的应用程序中的一部分Amazon 托管应用程序,其中还包括非网络应用程序,例如Amazon Athena SQL和Amazon S3访问授权。

  • Amazon 托管应用程序使用 Ident ity Store API 检索用户和群组属性。