登录事件 CloudTrail中的用户名 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

登录事件 CloudTrail中的用户名

IAM Identity Center 在每次 IAM Identity Center 用户成功登录时,在 additionalEventData 元素下发出 UserName 字段一次。以下列表描述了范围内的两种登录事件,以及这些事件发生的条件。当用户登录时,只有一个条件可能为真。

  • CredentialChallenge

    • 何时CredentialType为 “PASSWORD” — 适用于使用 Amazon Directory Service 或进行密码身份验证 IAM Identity Center 目录。

    • Wh CredentialType e EMAIL_OTP n 为 “” — 仅适用于CreateUser通过 API 调用创建的用户首次尝试登录,并且该用户收到一次性密码即可使用该密码登录一次的情况。 IAM Identity Center 目录

  • UserAuthentication

    • CredentialType 为“EXTERNAL_IDP”时 - 适用于使用外部 IdP 进行的身份验证。

成功认证的 UserName 值如下:

  • 当身份源是外部 IdP 时,该值等于传入 SAML 断言中的 nameID 值。该值等于 IAM Identity Center 目录中的 UserName 字段。

  • 当身份源为时 IAM Identity Center 目录,发出的值等于该目录中的UserName字段。

  • 当身份源为时 Amazon Directory Service,发出的值等于用户在身份验证期间输入的用户名。例如,拥有用户名的用户可以使用anyuser@company.com、或进行身份验证 anyuseranyuser@company.com,在每种情况下company.com/anyuser,输入的值都将 CloudTrail 分别发出。

错误用户名尝试的安全屏蔽

HIDDEN_DUE_TO_SECURITY_REASONS当记录的事件是由于用户名输入不正确而导致的控制台登录失败时,该UserName字段包含字符串。 CloudTrail 在这种情况下,不会记录内容,因为文本可能包含敏感信息,如以下示例所述:

  • 用户不小心在用户名称字段中键入了密码。

  • 用户意外键入了个人电子邮件账户的账户名称、银行登录标识符或某个其他私有 ID。

提示

我们建议您使用userIdidentityStoreArn来识别 IAM 身份中心 CloudTrail 事件背后的用户。如果您需要使用 userName 字段,可以使用每次成功登录时在 additionalEventData 元素下发出的 userName

有关如何使用 UserName 字段的更多信息,请参阅 关联同一用户会话内的用户事件