Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# CloudTrail Anwendungsfälle für IAM Identity Center
Die CloudTrail Ereignisse, die IAM Identity Center ausgibt, können für eine Vielzahl von Anwendungsfällen nützlich sein. Organizations können diese Ereignisprotokolle verwenden, um den Benutzerzugriff und die Benutzeraktivitäten in ihrer AWS Umgebung zu überwachen und zu prüfen. Dies kann bei Anwendungsfällen zur Einhaltung von Vorschriften hilfreich sein, da in den Protokollen Informationen darüber erfasst werden, wer wann auf welche Ressourcen zugreift. Sie können die CloudTrail Daten auch für die Untersuchung von Vorfällen verwenden, sodass Teams Benutzeraktionen analysieren und verdächtiges Verhalten verfolgen können. Darüber hinaus kann der Ereignisverlauf bei der Problembehebung helfen und bietet Einblick in Änderungen, die im Laufe der Zeit an Benutzerberechtigungen und Konfigurationen vorgenommen wurden.
In den folgenden Abschnitten werden die grundlegenden Anwendungsfälle beschrieben, die Ihre Workflows wie Audits, Untersuchung von Vorfällen und Problembehebung beeinflussen.
## Identifizieren des Benutzers in von Benutzern ausgelösten Ereignissen in IAM Identity Center CloudTrail
IAM Identity Center gibt zwei CloudTrail Felder aus, mit denen Sie den IAM Identity Center-Benutzer identifizieren können, der hinter den CloudTrail Ereignissen steht, z. B. der Anmeldung bei IAM Identity Center oder der Nutzung des AWS Zugriffsportals AWS CLI, einschließlich der Verwaltung von MFA-Geräten:
+ `userId`— Die eindeutige und unveränderliche Benutzer-ID aus dem Identity Store einer IAM Identity Center-Instanz.
+ `identityStoreArn`— Der Amazon-Ressourcenname (ARN) des Identity Store, der den Benutzer enthält.
Die `identityStoreArn` Felder `userID` und werden in dem innerhalb des `onBehalfOf` Elements verschachtelten [https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)Element angezeigt, wie im folgenden CloudTrail Beispiel-Ereignisprotokoll dargestellt. In diesem Ereignisprotokoll werden diese beiden Felder bei einem Ereignis angezeigt, dessen `userIdentity` Typ "`IdentityCenterUser`" ist. Sie finden diese Felder auch bei Ereignissen für authentifizierte IAM Identity Center-Benutzer, bei denen der `userIdentity` Typ "" `Unknown` ist. Ihre Workflows sollten beide Typwerte akzeptieren.
```
"userIdentity":{
"type":"IdentityCenterUser",
"accountId":"111122223333",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7"
}
```
**Tipp**
Wir empfehlen Ihnen, `userId` und zu verwenden, `identityStoreArn` um den Benutzer zu identifizieren, der hinter IAM Identity CloudTrail Center-Ereignissen steht. Die `principalId` Felder `userName` und unter dem `userIdentity` Element sind nicht mehr verfügbar. Wenn Ihre Workflows, z. B. für Audits oder die Reaktion auf Vorfälle, davon abhängen, dass Sie Zugriff auf das haben`username`, haben Sie zwei Möglichkeiten:
Rufen Sie den Benutzernamen aus dem IAM Identity Center-Verzeichnis ab, wie unter beschrieben[Benutzername bei Anmeldeereignissen CloudTrail](username-sign-in-cloudtrail-events.md).
Rufen Sie den Wert `UserName` ab, den IAM Identity Center unter dem `additionalEventData` Element Sign-in ausgibt. Für diese Option ist kein Zugriff auf das IAM Identity Center-Verzeichnis erforderlich. Weitere Informationen finden Sie unter [Benutzername bei Anmeldeereignissen CloudTrail](username-sign-in-cloudtrail-events.md).
Um die Details eines Benutzers, einschließlich des `username` Felds, abzurufen, fragen Sie den Identity Store mit Benutzer-ID und Identity Store-ID als Parametern ab. Sie können diese Aktion über die [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)API-Anfrage oder über die CLI ausführen. Im Folgenden finden Sie ein Beispiel für einen CLI-Befehl. Sie können den `region` Parameter weglassen, wenn sich Ihre IAM Identity Center-Instanz in der CLI-Standardregion befindet.
```
aws identitystore describe-user \
--identity-store-id d-1234567890 \
--user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \
--region your-region-id
```
Um den Identity Store ID-Wert für den CLI-Befehl im vorherigen Beispiel zu ermitteln, können Sie die Identity Store ID aus dem `identityStoreArn` Wert extrahieren. Im Beispiel ARN lautet `arn:aws:identitystore::111122223333:identitystore/d-1234567890` die Identity Store-ID`d-1234567890`. Alternativ können Sie die Identity Store-ID finden, indem Sie im Bereich **Einstellungen** der IAM **Identity Center-Konsole zur Registerkarte Identity Store** navigieren.
Wenn Sie die Suche nach Benutzern im IAM Identity Center-Verzeichnis automatisieren, empfehlen wir Ihnen, die Häufigkeit der Benutzersuchen abzuschätzen und die [IAM Identity Center-Drosselbegrenzung für die Identity Store-API](limits.md#ssodirectorylimits) zu berücksichtigen. Das Zwischenspeichern von abgerufenen Benutzerattributen kann Ihnen helfen, die Drosselung einzuhalten.
## Korrelieren von Benutzerereignissen innerhalb derselben Benutzersitzung
Das bei Anmeldeereignissen ausgegebene [`AuthWorkflowID`](understanding-sign-in-events.md)Feld ermöglicht die Nachverfolgung aller CloudTrail Ereignisse im Zusammenhang mit einer Anmeldesequenz vor Beginn einer IAM Identity Center-Benutzersitzung.
Für Benutzeraktionen innerhalb des AWS Zugriffsportals wird der `credentialId` Wert auf die ID der Sitzung des IAM Identity Center-Benutzers gesetzt, mit der die Aktion angefordert wurde. Sie können diesen Wert verwenden, um CloudTrail Ereignisse zu identifizieren, die innerhalb derselben authentifizierten IAM Identity Center-Benutzersitzung im Zugriffsportal ausgelöst wurden. AWS
**Anmerkung**
Sie können ihn nicht verwenden`credentialId`, um Anmeldeereignisse mit nachfolgenden Ereignissen, wie z. B. der Nutzung des Zugangsportals, zu korrelieren. AWS Der Wert des `credentialId` Felds, der bei Anmeldeereignissen ausgegeben wird, wird intern verwendet, und wir empfehlen, dass Sie sich nicht darauf verlassen. Der Wert des `credentialId` Felds, das für mit OIDC aufgerufene [AWS Access-Portal-Ereignisse](sso-info-in-cloudtrail.md#cloudtrail-events-access-portal-operations) ausgegeben wird, entspricht der ID des Zugriffstokens.
## Identifizieren von Sitzungsdetails im Hintergrund von Benutzern in von IAM Identity Center ausgelösten Ereignissen CloudTrail
Das folgende CloudTrail Ereignis erfasst den Prozess des OAuth 2.0-Tokenaustauschs, bei dem ein vorhandenes Zugriffstoken (das`subjectToken`), das die interaktive Sitzung des Benutzers darstellt, gegen ein Aktualisierungstoken (das`requestedTokenType`) ausgetauscht wird. Mit dem Aktualisierungstoken können alle vom Benutzer initiierten Jobs mit langer Laufzeit weiterhin mit den Benutzerberechtigungen ausgeführt werden, auch wenn sich der Benutzer abmeldet.
Bei [Hintergrundsitzungen von IAM Identity Center-Benutzern](user-background-sessions.md) umfasst das CloudTrail Ereignis ein zusätzliches Element, das `resource` `requestParameters` im Element aufgerufen wird. Der `resource` Parameter enthält den Amazon-Ressourcennamen (ARN) des Jobs, der im Hintergrund ausgeführt wird. Dieses Element ist nur in CloudTrail Ereignisdatensätzen vorhanden und nicht in den IAM-API- oder SDK-Antworten von [CreateTokenWithIAM](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Identity Center enthalten.
```
{
"clientId": "EXAMPLE-CLIENT-ID",
"grantType": "urn:ietf:params:oauth:grant-type:token-exchange",
"code": "HIDDEN_DUE_TO_SECURITY_REASONS",
"redirectUri": "https://example.com/callback",
"assertion": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subjectToken": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subjectTokenType": "urn:ietf:params:oauth:token-type:access_token",
"requestedTokenType": "urn:ietf:params:oauth:token-type:refresh_token",
"resource": "arn:aws:sagemaker:us-west-2:123456789012:training-job/my-job"
}
```
## Korrelierung von Benutzern zwischen IAM Identity Center und externen Verzeichnissen
IAM Identity Center bietet zwei Benutzerattribute, mit denen Sie einen Benutzer in seinem Verzeichnis demselben Benutzer in einem externen Verzeichnis zuordnen können (z. B. und). Microsoft Active Directory Okta Universal Directory
+ `externalId`— Die externe ID eines IAM Identity Center-Benutzers. Wir empfehlen, diese ID einer unveränderlichen Benutzer-ID im externen Verzeichnis zuzuordnen. Beachten Sie, dass IAM Identity Center diesen Wert nicht in ausgibt. CloudTrail
+ `username`— Ein vom Kunden bereitgestellter Wert, mit dem sich Benutzer normalerweise anmelden. Der Wert kann sich ändern (z. B. bei einem SCIM-Update). Beachten Sie, dass, wenn die Identitätsquelle ist Directory Service, der Benutzername, den IAM Identity Center ausgibt, mit dem Benutzernamen CloudTrail übereinstimmt, den Sie zur Authentifizierung eingeben. Der Benutzername muss nicht exakt mit dem Benutzernamen im IAM Identity Center-Verzeichnis übereinstimmen.
Wenn Sie Zugriff auf die CloudTrail Ereignisse, aber nicht auf das IAM Identity Center-Verzeichnis haben, können Sie den bei der Anmeldung unter dem `additionalEventData` Element angegebenen Benutzernamen verwenden. Weitere Informationen zum Benutzernamen in finden Sie `additionalEventData` unter. [Benutzername bei Anmeldeereignissen CloudTrail](username-sign-in-cloudtrail-events.md)
Die Zuordnung dieser beiden Benutzerattribute zu den entsprechenden Benutzerattributen in einem externen Verzeichnis ist in IAM Identity Center definiert, wenn die Identitätsquelle die Directory Service ist. Weitere Informationen finden Sie unter. [Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md) Externe Benutzer IdPs , die SCIM bereitstellen, haben ihre eigene Zuordnung. Selbst wenn Sie das IAM Identity Center-Verzeichnis als Identitätsquelle verwenden, können Sie das `externalId` Attribut verwenden, um Sicherheitsprinzipale mit Ihrem externen Verzeichnis zu verknüpfen.
Im folgenden Abschnitt wird erklärt, wie Sie anhand des Benutzernamens und nach einem IAM Identity Center-Benutzer suchen können. `username` `externalId`
## Einen IAM Identity Center-Benutzer anhand seines Benutzernamens und seiner externen ID anzeigen
Sie können Benutzerattribute für einen bekannten Benutzernamen aus dem IAM Identity Center-Verzeichnis abrufen, indem Sie zunächst `userId` mithilfe der [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html)API-Anfrage eine entsprechende Anfrage anfordern und dann eine [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)API-Anfrage stellen, wie im vorherigen Beispiel gezeigt. Das folgende Beispiel zeigt, wie Sie eine `userId` aus dem Identity Store für einen bestimmten Benutzernamen abrufen können. Sie können den `region` Parameter weglassen, wenn sich Ihre IAM Identity Center-Instanz mit der CLI in der Standardregion befindet.
```
aws identitystore get-user-id \
--identity-store d-9876543210 \
--alternate-identifier '{
"UniqueAttribute": {
"AttributePath": "username",
"AttributeValue": "anyuser@example.com"
}
}' \
--region your-region-id
```
In ähnlicher Weise können Sie denselben Mechanismus verwenden, wenn Sie den kennen. `externalId` Aktualisieren Sie den Attributpfad im vorherigen Beispiel mit dem `externalId` Wert und den Attributwert mit dem spezifischen `externalId` Wert, nach dem Sie suchen.
## Den Secure Identifier (SID) eines Benutzers in Microsoft Active Directory (AD) und ExternalID anzeigen
In bestimmten Fällen gibt IAM Identity Center die SID eines Benutzers im `principalId` Bereich CloudTrail Ereignisse aus, z. B. die SID, die das AWS Access Portal und APIs OIDC ausgeben. **Diese Fälle werden schrittweise eingestellt.** Wir empfehlen, dass Ihre Workflows das AD-Attribut verwenden`objectguid`, wenn Sie eine eindeutige Benutzer-ID von AD benötigen. Sie finden diesen Wert im `externalId` Attribut im IAM Identity Center-Verzeichnis. Wenn Ihre Workflows jedoch die Verwendung von SID erfordern, rufen Sie den Wert aus AD ab, da er nicht über IAM Identity Center verfügbar ist. APIs
[Korrelieren von Benutzerereignissen innerhalb derselben BenutzersitzungKorrelierung von Benutzern zwischen IAM Identity Center und externen Verzeichnissen](#correlating-users)beschreibt, wie Sie die `username` Felder `externalId` und verwenden können, um einen IAM Identity Center-Benutzer einem passenden Benutzer in einem externen Verzeichnis zuzuordnen. Standardmäßig ist IAM Identity Center dem `objectguid` Attribut in AD `externalId` zugeordnet, und diese Zuordnung ist behoben. IAM Identity Center bietet Administratoren die Flexibilität, eine `username` andere Zuordnung als die Standardzuweisung `userprincipalname` in AD vorzunehmen.
Sie können diese Zuordnungen in der IAM Identity Center-Konsole anzeigen. **Navigieren Sie in den **Einstellungen** zur Registerkarte „**Identitätsquelle**“ und wählen Sie im Menü „Aktionen“ die Option **Synchronisierung verwalten** aus.** Wählen **Sie im Bereich „Synchronisation verwalten**“ die Schaltfläche „**Attributzuordnungen anzeigen“**.
Sie können zwar jede eindeutige AD-Benutzer-ID verwenden, die in IAM Identity Center verfügbar ist, um nach einem Benutzer in AD zu suchen, wir empfehlen jedoch, die `objectguid` in Ihren Abfragen zu verwenden, da es sich um eine unveränderliche Kennung handelt. Das folgende Beispiel zeigt, wie Microsoft AD mit Powershell abgefragt wird, um einen Benutzer mit dem `objectguid` Benutzerwert von `16809ecc-7225-4c20-ad98-30094aefdbca` abzurufen. Eine erfolgreiche Antwort auf diese Abfrage beinhaltet die SID des Benutzers.
```
Install-WindowsFeature -Name RSAT-AD-PowerShell
Get-ADUser `
-Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} `
-Properties *
```