Identifizieren des Benutzers in von Benutzern ausgelösten Ereignissen in IAM Identity Center CloudTrail Korrelieren von Benutzerereignissen innerhalb derselben Benutzersitzung Identifizieren von Sitzungsdetails im Hintergrund von Benutzern in von IAM Identity Center ausgelösten Ereignissen CloudTrail Korrelierung von Benutzern zwischen IAM Identity Center und externen Verzeichnissen Anzeigen von Benutzern Die SID eines Benutzers anzeigen

CloudTrail Anwendungsfälle für IAM Identity Center

Die CloudTrail Ereignisse, die IAM Identity Center ausgibt, können für eine Vielzahl von Anwendungsfällen nützlich sein. Organizations können diese Ereignisprotokolle verwenden, um den Benutzerzugriff und die Benutzeraktivitäten in ihrer AWS Umgebung zu überwachen und zu prüfen. Dies kann bei Anwendungsfällen zur Einhaltung von Vorschriften hilfreich sein, da in den Protokollen Informationen darüber erfasst werden, wer wann auf welche Ressourcen zugreift. Sie können die CloudTrail Daten auch für die Untersuchung von Vorfällen verwenden, sodass Teams Benutzeraktionen analysieren und verdächtiges Verhalten verfolgen können. Darüber hinaus kann der Ereignisverlauf bei der Problembehebung helfen und bietet Einblick in Änderungen, die im Laufe der Zeit an Benutzerberechtigungen und Konfigurationen vorgenommen wurden.

In den folgenden Abschnitten werden die grundlegenden Anwendungsfälle beschrieben, die Ihre Workflows wie Audits, Untersuchung von Vorfällen und Problembehebung beeinflussen.

Identifizieren des Benutzers in von Benutzern ausgelösten Ereignissen in IAM Identity Center CloudTrail

IAM Identity Center gibt zwei CloudTrail Felder aus, mit denen Sie den IAM Identity Center-Benutzer identifizieren können, der hinter den CloudTrail Ereignissen steht, z. B. der Anmeldung bei IAM Identity Center oder der Nutzung des AWS Zugriffsportals AWS CLI, einschließlich der Verwaltung von MFA-Geräten:

userId— Die eindeutige und unveränderliche Benutzer-ID aus dem Identity Store einer IAM Identity Center-Instanz.
identityStoreArn— Der Amazon-Ressourcenname (ARN) des Identity Store, der den Benutzer enthält.

Die identityStoreArn Felder userID und werden in dem innerhalb des onBehalfOf Elements verschachtelten userIdentityElement angezeigt, wie im folgenden CloudTrail Beispiel-Ereignisprotokoll dargestellt. In diesem Ereignisprotokoll werden diese beiden Felder bei einem Ereignis angezeigt, dessen userIdentity Typ "IdentityCenterUser" ist. Sie finden diese Felder auch bei Ereignissen für authentifizierte IAM Identity Center-Benutzer, bei denen der userIdentity Typ "" Unknown ist. Ihre Workflows sollten beide Typwerte akzeptieren.


"userIdentity":{
  "type":"IdentityCenterUser",
  "accountId":"111122223333",
  "onBehalfOf": {
    "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
    "identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
    },
    "credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7"
  }

Tipp

Wir empfehlen Ihnen, userId und zu verwenden, identityStoreArn um den Benutzer zu identifizieren, der hinter IAM Identity CloudTrail Center-Ereignissen steht. Die principalId Felder userName und unter dem userIdentity Element sind nicht mehr verfügbar. Wenn Ihre Workflows, z. B. für Audits oder die Reaktion auf Vorfälle, davon abhängen, dass Sie Zugriff auf das habenusername, haben Sie zwei Möglichkeiten:

Rufen Sie den Benutzernamen aus dem IAM Identity Center-Verzeichnis ab, wie unter beschriebenBenutzername bei Anmeldeereignissen CloudTrail.
Rufen Sie den ausUserName, den IAM Identity Center unter dem additionalEventData Element Sign-in ausgibt. Für diese Option ist kein Zugriff auf das IAM Identity Center-Verzeichnis erforderlich. Weitere Informationen finden Sie unter Benutzername bei Anmeldeereignissen CloudTrail.

Um die Details eines Benutzers, einschließlich des username Felds, abzurufen, fragen Sie den Identity Store mit Benutzer-ID und Identity Store-ID als Parametern ab. Sie können diese Aktion über die DescribeUserAPI-Anfrage oder über die CLI ausführen. Im Folgenden finden Sie ein Beispiel für einen CLI-Befehl. Sie können den region Parameter weglassen, wenn sich Ihre IAM Identity Center-Instanz in der CLI-Standardregion befindet.


aws identitystore describe-user \
--identity-store-id  d-1234567890 \
--user-id  544894e8-80c1-707f-60e3-3ba6510dfac1 \
--region your-region-id

Um den Identity Store ID-Wert für den CLI-Befehl im vorherigen Beispiel zu ermitteln, können Sie die Identity Store ID aus dem identityStoreArn Wert extrahieren. Im Beispiel ARN lautet arn:aws:identitystore::111122223333:identitystore/d-1234567890 die Identity Store-IDd-1234567890. Alternativ können Sie die Identity Store-ID finden, indem Sie im Bereich Einstellungen der IAM Identity Center-Konsole zur Registerkarte Identity Store navigieren.

Wenn Sie die Suche nach Benutzern im IAM Identity Center-Verzeichnis automatisieren, empfehlen wir Ihnen, die Häufigkeit der Benutzersuchen abzuschätzen und die IAM Identity Center-Drosselbegrenzung für die Identity Store-API zu berücksichtigen. Das Zwischenspeichern von abgerufenen Benutzerattributen kann Ihnen helfen, die Drosselung einzuhalten.

Korrelieren von Benutzerereignissen innerhalb derselben Benutzersitzung

Das bei Anmeldeereignissen ausgegebene AuthWorkflowIDFeld ermöglicht die Nachverfolgung aller CloudTrail Ereignisse im Zusammenhang mit einer Anmeldesequenz vor Beginn einer IAM Identity Center-Benutzersitzung.

Bei Benutzeraktionen innerhalb des AWS Zugriffsportals wird der credentialId Wert auf die ID der Sitzung des IAM Identity Center-Benutzers gesetzt, mit der die Aktion angefordert wurde. Sie können diesen Wert verwenden, um CloudTrail Ereignisse zu identifizieren, die innerhalb derselben authentifizierten IAM Identity Center-Benutzersitzung im Zugriffsportal ausgelöst wurden. AWS

Anmerkung

Sie können ihn nicht verwendencredentialId, um Anmeldeereignisse mit nachfolgenden Ereignissen, wie z. B. der Nutzung des Zugangsportals, zu korrelieren. AWS Der Wert des credentialId Felds, der bei Anmeldeereignissen ausgegeben wird, wird intern verwendet, und wir empfehlen, dass Sie sich nicht darauf verlassen. Der Wert des credentialId Felds, das für mit OIDC aufgerufene AWS Access-Portal-Ereignisse ausgegeben wird, entspricht der ID des Zugriffstokens.

Identifizieren von Sitzungsdetails im Hintergrund von Benutzern in von IAM Identity Center ausgelösten Ereignissen CloudTrail

Das folgende CloudTrail Ereignis erfasst den Prozess des OAuth 2.0-Tokenaustauschs, bei dem ein vorhandenes Zugriffstoken (dassubjectToken), das die interaktive Sitzung des Benutzers darstellt, gegen ein Aktualisierungstoken (dasrequestedTokenType) ausgetauscht wird. Mit dem Aktualisierungstoken können alle vom Benutzer initiierten Jobs mit langer Laufzeit weiterhin mit den Benutzerberechtigungen ausgeführt werden, auch wenn sich der Benutzer abmeldet.

Bei Hintergrundsitzungen von IAM Identity Center-Benutzern umfasst das CloudTrail Ereignis ein zusätzliches Element, das resource requestParameters im Element aufgerufen wird. Der resource Parameter enthält den Amazon-Ressourcennamen (ARN) des Jobs, der im Hintergrund ausgeführt wird. Dieses Element ist nur in CloudTrail Ereignisdatensätzen vorhanden und nicht in den Antworten der IAM Identity Center API oder des SDK enthalten.


{
  "clientId": "EXAMPLE-CLIENT-ID",
  "grantType": "urn:ietf:params:oauth:grant-type:token-exchange",
  "code": "HIDDEN_DUE_TO_SECURITY_REASONS",
  "redirectUri": "https://example.com/callback",
  "assertion": "HIDDEN_DUE_TO_SECURITY_REASONS",
  "subjectToken": "HIDDEN_DUE_TO_SECURITY_REASONS",
  "subjectTokenType": "urn:ietf:params:oauth:token-type:access_token",
  "requestedTokenType": "urn:ietf:params:oauth:token-type:refresh_token",
  "resource": "arn:aws:sagemaker:us-west-2:123456789012:training-job/my-job"
}

Korrelierung von Benutzern zwischen IAM Identity Center und externen Verzeichnissen

IAM Identity Center bietet zwei Benutzerattribute, mit denen Sie einen Benutzer in seinem Verzeichnis demselben Benutzer in einem externen Verzeichnis zuordnen können (z. B. und). Microsoft Active Directory Okta Universal Directory

externalId— Die externe ID eines IAM Identity Center-Benutzers. Wir empfehlen, diese ID einer unveränderlichen Benutzer-ID im externen Verzeichnis zuzuordnen. Beachten Sie, dass IAM Identity Center diesen Wert nicht in ausgibt. CloudTrail
username— Ein vom Kunden bereitgestellter Wert, mit dem sich Benutzer normalerweise anmelden. Der Wert kann sich ändern (z. B. bei einem SCIM-Update). Beachten Sie, dass, wenn die Identitätsquelle ist AWS Directory Service, der Benutzername, den IAM Identity Center ausgibt, mit dem Benutzernamen CloudTrail übereinstimmt, den Sie zur Authentifizierung eingeben. Der Benutzername muss nicht exakt mit dem Benutzernamen im IAM Identity Center-Verzeichnis übereinstimmen.

Wenn Sie Zugriff auf die CloudTrail Ereignisse, aber nicht auf das IAM Identity Center-Verzeichnis haben, können Sie den bei der Anmeldung unter dem additionalEventData Element angegebenen Benutzernamen verwenden. Weitere Informationen zum Benutzernamen in finden Sie additionalEventData unter. Benutzername bei Anmeldeereignissen CloudTrail

Die Zuordnung dieser beiden Benutzerattribute zu den entsprechenden Benutzerattributen in einem externen Verzeichnis ist in IAM Identity Center definiert, wenn die Identitätsquelle der AWS Directory Service ist. Weitere Informationen finden Sie unter. Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter Externe Benutzer IdPs , die SCIM bereitstellen, haben ihre eigene Zuordnung. Selbst wenn Sie das IAM Identity Center-Verzeichnis als Identitätsquelle verwenden, können Sie das externalId Attribut verwenden, um Sicherheitsprinzipale mit Ihrem externen Verzeichnis zu verknüpfen.

Im folgenden Abschnitt wird erklärt, wie Sie anhand des Benutzernamens und nach einem IAM Identity Center-Benutzer suchen können. username externalId

Einen IAM Identity Center-Benutzer anhand seines Benutzernamens und seiner externen ID anzeigen

Sie können Benutzerattribute für einen bekannten Benutzernamen aus dem IAM Identity Center-Verzeichnis abrufen, indem Sie zunächst userId mithilfe der GetUserIdAPI-Anfrage eine entsprechende Anfrage anfordern und dann eine DescribeUserAPI-Anfrage stellen, wie im vorherigen Beispiel gezeigt. Das folgende Beispiel zeigt, wie Sie eine userId aus dem Identity Store für einen bestimmten Benutzernamen abrufen können. Sie können den region Parameter weglassen, wenn sich Ihre IAM Identity Center-Instanz mit der CLI in der Standardregion befindet.


aws identitystore get-user-id \
    --identity-store d-9876543210 \
    --alternate-identifier '{
      "UniqueAttribute": {
      "AttributePath": "username",
      "AttributeValue": "anyuser@example.com"
        }
          }' \
    --region your-region-id

In ähnlicher Weise können Sie denselben Mechanismus verwenden, wenn Sie den kennen. externalId Aktualisieren Sie den Attributpfad im vorherigen Beispiel mit dem externalId Wert und den Attributwert mit dem spezifischen externalId Wert, nach dem Sie suchen.

Den Secure Identifier (SID) eines Benutzers in Microsoft Active Directory (AD) und ExternalID anzeigen

In bestimmten Fällen gibt IAM Identity Center die SID eines Benutzers im principalId Bereich CloudTrail Ereignisse aus, z. B. diejenigen, die das AWS Access Portal und APIs OIDC ausgeben. Diese Fälle werden schrittweise eingestellt. Wir empfehlen, dass Ihre Workflows das AD-Attribut verwendenobjectguid, wenn Sie eine eindeutige Benutzer-ID von AD benötigen. Sie finden diesen Wert im externalId Attribut im IAM Identity Center-Verzeichnis. Wenn Ihre Workflows jedoch die Verwendung von SID erfordern, rufen Sie den Wert aus AD ab, da er nicht über IAM Identity Center verfügbar ist. APIs

Korrelieren von Benutzerereignissen innerhalb derselben Benutzersitzungbeschreibt, wie Sie die username Felder externalId und verwenden können, um einen IAM Identity Center-Benutzer einem passenden Benutzer in einem externen Verzeichnis zuzuordnen. Standardmäßig ist IAM Identity Center dem objectguid Attribut in AD externalId zugeordnet, und diese Zuordnung ist behoben. IAM Identity Center bietet Administratoren die Flexibilität, eine username andere Zuordnung als die Standardzuweisung userprincipalname in AD vorzunehmen.

Sie können diese Zuordnungen in der IAM Identity Center-Konsole anzeigen. Navigieren Sie in den Einstellungen zur Registerkarte „Identitätsquelle“ und wählen Sie im Menü „Aktionen“ die Option Synchronisierung verwalten aus. Wählen Sie im Bereich „Synchronisation verwalten“ die Schaltfläche „Attributzuordnungen anzeigen“.

Sie können zwar jede eindeutige AD-Benutzer-ID verwenden, die in IAM Identity Center verfügbar ist, um nach einem Benutzer in AD zu suchen, wir empfehlen jedoch, die objectguid in Ihren Abfragen zu verwenden, da es sich um eine unveränderliche Kennung handelt. Das folgende Beispiel zeigt, wie Microsoft AD mit Powershell abgefragt wird, um einen Benutzer mit dem objectguid Benutzerwert von 16809ecc-7225-4c20-ad98-30094aefdbca abzurufen. Eine erfolgreiche Antwort auf diese Abfrage beinhaltet die SID des Benutzers.


Install-WindowsFeature -Name  RSAT-AD-PowerShell
 
  Get-ADUser `
  -Filter {objectGUID -eq  [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} `
  -Properties *

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Protokollieren von IAM Identity Center-API-Aufrufen mit AWS CloudTrail

IAM Identity Center-Informationen in CloudTrail