本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 Cognito 中的信息 CloudTrail
CloudTrail 在您创建时已开启 Amazon Web Services 账户。当 Amazon Cognito 中出现支持的事件活动时,该活动会与其他 Amazon 服务 CloudTrail 事件一起记录在事件历史记录中。您可以在自己的 Amazon 账户中查看、搜索和下载最近发生的事件。有关更多信息,请参阅使用事件历史查看 CloudTrail 事件。
要持续记录您的 Amazon 账户中的事件,包括 Amazon Cognito 的事件,请创建跟踪。 CloudTrail 跟踪将日志文件传输到 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪时,此跟踪应用于所有 区域。跟踪记录 Amazon 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 Amazon 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅:
每个事件或日记账条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
-
请求是使用根凭证还是IAM用户凭证发出的。
-
请求是使用角色还是联合用户的临时安全凭证发出的。
-
请求是否由其他 Amazon 服务发出。
有关更多信息,请参阅CloudTrail userIdentity 元素。
中的机密数据 Amazon CloudTrail
由于用户池和身份池会处理用户数据,因此 Amazon Cognito 会使用该值掩盖 CloudTrail 事件中的一些私有字段。HIDDEN_FOR_SECURITY_REASONS
有关 Amazon Cognito 未填充到事件的字段的示例,请参阅了解 Amazon Cognito 登录事件。Amazon Cognito 只会掩盖一些通常包含用户信息的字段,例如密码和令牌。Amazon Cognito 不会自动检测或屏蔽您在请求中填充到非私密字段中的个人识别信息。API
Amazon Cognito User Pools
Amazon Cognito 支持将用户池操作页面上列出的所有操作作为事件 CloudTrail 记录在日志文件中。Amazon Cognito 将用户池事件记录 CloudTrail 为管理事件。
Amazon Cognito 用户池 CloudTrail 条目中的eventType
字段告诉你你的应用程序是向 Amazon Cognito 用户API池发出请求,还是向为 OpenID Connect SAML、2.0 或托管用户界面提供资源的终端节点发出了请求。API请求eventType
的值为AwsApiCall
,端点请求eventType
的值为AwsServiceEvent
。
Amazon Cognito 将以下托管用户界面请求作为事件记录到您的托管用户界面。 CloudTrail
托管的 UI 操作位于 CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
操作 | 描述 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_GET , CognitoAuthentication |
用户查看或向您的 登录端点 提交凭证。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2_Authorize_GET , Beta_Authorize_GET |
用户查看您的 对端点授权。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OAuth2Response_GET , OAuth2Response_POST |
用户向您的 /oauth2/idpresponse 端点提交 IdP 令牌。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Response_POST , Beta_SAML2Response_POST |
用户向您的终端节点提交 IdP SAML 断言。/saml2/idpresponse |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login_OIDC_SAML_POST |
用户在您的 登录端点 中输入用户名并与 IdP 标识符匹配。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Token_POST , Beta_Token_POST |
用户向您的 令牌端点 提交授权码。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Signup_GET , Signup_POST |
用户向您的 /signup 端点提交注册信息。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_GET , Confirm_POST |
用户在托管 UI 中提交确认代码。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResendCode_POST |
用户在托管 UI 中提交重新发送确认代码的请求。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ForgotPassword_GET , ForgotPassword_POST |
用户向您的 /forgotPassword 端点提交重置密码的请求。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ConfirmForgotPassword_GET ,
ConfirmForgotPassword_POST |
用户向您的 /confirmForgotPassword 端点提交代码以确认其 ForgotPassword 请求。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ResetPassword_GET , ResetPassword_POST |
用户在托管 UI 中提交新密码。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mfa_GET , Mfa_POST |
用户在托管用户界面中提交多重身份验证 (MFA) 代码。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaOption_GET , MfaOption_POST |
用户在托管用户界面中选择自己的首选方法。MFA | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MfaRegister_GET , MfaRegister_POST |
注册时,用户在托管用户界面中提交多重身份验证 (MFA) 代码。MFA | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Logout |
用户在您的 /logout 端点注销。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SAML2Logout_POST |
用户在您的 /saml2/logout 端点注销。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Error_GET |
用户在托管 UI 中查看错误页面。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UserInfo_GET , UserInfo_POST |
用户或 IdP 与您的 UserInfo 端点 交换信息。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confirm_With_Link_GET |
用户根据 Amazon Cognito 在电子邮件中发送的链接提交确认。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Event_Feedback_GET |
用户向 Amazon Cognito 提交有关高级安全功能事件的反馈。 |
注意
Amazon Cognito 会记录特定UserName
于用户的请求,UserSub
但不记录在 CloudTrail 日志中。你可以UserSub
通过调用 ListUsers
API,然后使用过滤器来查找给定的用户。
Amazon Cognito 身份池
数据事件
Amazon Cognito 将以下 Amazon Cognito 身份事件记录 CloudTrail 为数据事件。数据事件是大容量数据平面API操作, CloudTrail 默认情况下不记录。记录数据事件将收取额外费用。
要为这些API操作生成 CloudTrail 日志,您必须激活跟踪中的数据事件,并为 Cognito 身份池选择事件选择器。有关更多信息,请参阅 Amazon CloudTrail 用户指南中的记录数据事件以便跟踪。
您也可以使用以下CLI命令将身份池事件选择器添加到您的跟踪中。
aws cloudtrail put-event-selectors --trail-name
<trail name>
--advanced-event-selectors \ "{\ \"Name\": \"Cognito Selector\",\ \"FieldSelectors\": [\ {\ \"Field\": \"eventCategory\",\ \"Equals\": [\ \"Data\"\ ]\ },\ {\ \"Field\": \"resources.type\",\ \"Equals\": [\ \"AWS::Cognito::IdentityPool\"\ ]\ }\ ]\ }"
管理事件
Amazon Cognito 将剩余的 Amazon Cognito 身份API池操作记录为管理事件。 CloudTrail 默认情况下会记录管理事件API操作。
有关 Amazon Cognito 登录 CloudTrail的亚马逊 Cognito 身份池API操作的列表,请参阅 Amazon Co gnito 身份池参考。API
Amazon Cognito Sync
Amazon Cognito 将所有亚马逊 Cognito API 同步操作记录为管理事件。有关亚马逊 Cognito 登录 CloudTrail的亚马逊 Cognito 同步API操作的列表,请参阅亚马逊 Cog nito 同步参考。API