本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
登录事件 CloudTrail中的用户名
每成功登录 IAM 身份中心用户,IAM Identity Center 都会在additionalEventData元素下方发出一次UserName字段。以下列表描述了范围内的两个登录事件,以及这些事件发生的条件。当用户登录时,只有其中一个条件可以成立。
-
CredentialChallenge-
何时
CredentialType为 “PASSWORD” — 适用于使用 Amazon Directory Service 或进行密码身份验证 IAM Identity Center 目录。 -
Wh
CredentialTypeeEMAIL_OTPn 为 “” — 仅适用于CreateUser通过 API 调用创建的用户首次尝试登录,并且该用户收到一次性密码即可使用该密码登录一次的情况。 IAM Identity Center 目录
-
-
UserAuthentication-
何时
CredentialType为 “EXTERNAL_IDP” — 适用于使用外部 IdP 进行身份验证。
-
成功UserName进行身份验证的值如下所示:
-
当身份源是外部 IdP 时,该值等于传入的 SAM
nameIDL 断言中的值。此值等于中的UserName字段 IAM Identity Center 目录。 -
当身份源为时 IAM Identity Center 目录,发出的值等于该目录中的
UserName字段。 -
当身份源为时 Amazon Directory Service,发出的值等于用户在身份验证期间输入的用户名。例如,拥有用户名的用户可以使用
anyuser@company.com、或进行身份验证anyuseranyuser@company.com,在每种情况下company.com/anyuser,输入的值都将 CloudTrail 分别发出。
对不正确的用户名尝试进行安全屏蔽
HIDDEN_DUE_TO_SECURITY_REASONS当记录的事件是由于用户名输入不正确而导致的控制台登录失败时,该UserName字段包含字符串。 CloudTrail 在这种情况下,不会记录内容,因为文本可能包含敏感信息,如以下示例所述:
用户不小心在用户名称字段中键入了密码。
用户意外键入了个人电子邮件账户的账户名称、银行登录标识符或某个其他私有 ID。
提示
我们建议您使用userId和identityStoreArn来识别 IAM Identity Center CloudTrail 事件背后的用户。如果需要使用该userName字段,则可以使用元素userName下方,该additionalEventData元素每次成功登录都会发出一次。
有关如何使用该UserName字段的更多信息,请参阅关联同一用户会话中的用户事件。