Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
CloudTrail casos de uso del IAM Identity Center
Los CloudTrail eventos que emite el Centro de Identidad de IAM pueden ser valiosos para una variedad de casos de uso. Las organizaciones pueden usar estos registros de eventos para monitorear y auditar el acceso de los usuarios y la actividad en su AWS entorno. Esto puede ayudar a los casos de uso relacionados con el cumplimiento, ya que los registros recopilan detalles sobre quién accede a qué recursos y cuándo. También puede utilizar los CloudTrail datos para investigar incidentes, lo que permite a los equipos analizar las acciones de los usuarios y rastrear los comportamientos sospechosos. Además, el historial de eventos puede respaldar las iniciativas de solución de problemas, ya que proporciona visibilidad de los cambios realizados en los permisos y las configuraciones de los usuarios a lo largo del tiempo.
En las siguientes secciones se describen los casos de uso fundamentales que sirven de base a sus flujos de trabajo, como la auditoría, la investigación de incidentes y la solución de problemas.
Identificar al usuario en los eventos iniciados por CloudTrail los usuarios del IAM Identity Center
El Centro de Identidad de IAM emite dos CloudTrail campos que le permiten identificar al usuario del Centro de Identidad de IAM detrás de los CloudTrail eventos, como iniciar sesión en el Centro de Identidad de IAM o usar el portal de AWS acceso AWS CLI, incluida la administración de los dispositivos de MFA:
-
userId: el identificador de usuario único e inmutable del almacén de identidades de una instancia de IAM Identity Center. -
identityStoreArn: el nombre de recurso de Amazon (ARN) del almacén de identidades que contiene el usuario.
Los identityStoreArn campos userID y se muestran en el onBehalfOf elemento anidado dentro del elemento, como se muestra en el userIdentitysiguiente ejemplo de registro de eventos. CloudTrail Este registro de eventos muestra estos dos campos en un evento en el que el tipo de userIdentity es «IdentityCenterUser». También puede encontrar estos campos en los eventos de los usuarios autenticados de IAM Identity Center en los que el tipo de userIdentity es «Unknown». Sus flujos de trabajo deben aceptar ambos valores de tipo.
"userIdentity":{ "type":"IdentityCenterUser", "accountId":"111122223333", "onBehalfOf": { "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1", "identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" }, "credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7" }
sugerencia
Le recomendamos que utilice userId y identityStoreArn para identificar al usuario responsable de los eventos del IAM Identity Center CloudTrail . Los campos principalId y userName y del elemento userIdentity ya no están disponibles. Si sus flujos de trabajo, como la auditoría o la respuesta a incidentes, dependen de tener acceso a ellos username, tiene dos opciones:
-
Recupere el nombre de usuario del directorio de IAM Identity Center como se explica en El nombre de usuario en los eventos de inicio de sesión CloudTrail.
-
Obtenga el
UserNameque IAM Identity Center emite en el elementoadditionalEventDataen Iniciar sesión. Esta opción no requiere acceso al directorio de IAM Identity Center. Para obtener más información, consulte El nombre de usuario en los eventos de inicio de sesión CloudTrail.
Para recuperar los detalles de un usuario, incluido el campo username, consulte el almacén de identidades con el ID de usuario y el ID del almacén de identidades como parámetros. Puede realizar esta acción mediante la solicitud de la API DescribeUser o mediante la CLI. El siguiente comando de la CLI es un ejemplo. Puede omitir el parámetro region si la instancia de IAM Identity Center se encuentra en la región predeterminada de la CLI.
aws identitystore describe-user \ --identity-store-id d-1234567890 \ --user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \ --regionyour-region-id
Para determinar el valor del identificador del almacén de identidades para el comando de la CLI del ejemplo anterior, puede extraer el identificador del almacén de identidades del valor identityStoreArn. En el ARN de ejemplo arn:aws:identitystore::111122223333:identitystore/d-1234567890, el ID del almacén de identidades es d-1234567890. Como alternativa, puede localizar el ID del almacén de identidades accediendo a la pestaña Identity Store de la sección Configuración de la consola de IAM Identity Center.
Si va a automatizar la búsqueda de usuarios en el directorio de IAM Identity Center, le recomendamos que calcule la frecuencia de las búsquedas de usuarios y que tenga en cuenta el límite máximo de IAM Identity Center en la API del almacén de identidades. El almacenamiento en caché de los atributos de usuario recuperados puede ayudarle a mantenerse dentro del límite máximo.
Correlación de eventos de usuario dentro de la misma sesión de usuario
El AuthWorkflowIDcampo emitido en los eventos de inicio de sesión permite rastrear todos los CloudTrail eventos asociados a una secuencia de inicio de sesión antes del comienzo de una sesión de usuario del IAM Identity Center.
Para las acciones de los usuarios dentro del portal de AWS acceso, el credentialId valor se establece en el ID de la sesión del usuario del Centro de Identidad de IAM utilizada para solicitar la acción. Puede utilizar este valor para identificar CloudTrail los eventos iniciados dentro de la misma sesión de usuario autenticada del IAM Identity Center en el AWS portal de acceso.
nota
No se puede utilizar credentialId para correlacionar los eventos de inicio de sesión con los eventos posteriores, como el uso del portal de acceso de AWS . El valor del campo credentialId emitido en los eventos de inicio de sesión tiene un uso interno y le recomendamos que no confíe en él. El valor del credentialId campo emitido para los eventos del portal de acceso de AWS invocados con OIDC es igual al ID del token de acceso.
Identificar los detalles de la sesión de fondo del usuario en los eventos iniciados por los usuarios del IAM Identity Center CloudTrail
El siguiente CloudTrail evento captura el proceso de intercambio de tokens OAuth 2.0, en el que un token de acceso existente (elsubjectToken) que representa la sesión interactiva del usuario se intercambia por un token de actualización (elrequestedTokenType). El token de actualización permite que cualquier tarea de larga duración que haya iniciado continúe ejecutándose con los permisos del usuario, incluso después de cerrar sesión.
En el caso de las sesiones en segundo plano de los usuarios del IAM Identity Center, el CloudTrail evento incluye un elemento adicional denominado «resourceel requestParameters elemento». El parámetro resource contiene el nombre de recurso de Amazon (ARN) del trabajo que se ejecuta en segundo plano. Este elemento solo está presente en los registros de CloudTrail eventos y no se incluye en las respuestas del SDK o la API de CreateTokenWithIAM Identity Center.
{ "clientId": "EXAMPLE-CLIENT-ID", "grantType": "urn:ietf:params:oauth:grant-type:token-exchange", "code": "HIDDEN_DUE_TO_SECURITY_REASONS", "redirectUri": "https://example.com/callback", "assertion": "HIDDEN_DUE_TO_SECURITY_REASONS", "subjectToken": "HIDDEN_DUE_TO_SECURITY_REASONS", "subjectTokenType": "urn:ietf:params:oauth:token-type:access_token", "requestedTokenType": "urn:ietf:params:oauth:token-type:refresh_token", "resource": "arn:aws:sagemaker:us-west-2:123456789012:training-job/my-job" }
Correlación de usuarios entre IAM Identity Center y directorios externos
IAM Identity Center proporciona dos atributos de usuario que puede utilizar para correlacionar un usuario de su directorio con el mismo usuario de un directorio externo (por ejemplo, Microsoft Active Directory y Okta Universal Directory).
-
externalId: el identificador externo de un usuario de IAM Identity Center Se recomienda asignar este identificador a un identificador de usuario inmutable en el directorio externo. Tenga en cuenta que el Centro de identidades de IAM no emite este valor en. CloudTrail -
username: un valor proporcionado por el cliente con el que los usuarios suelen iniciar sesión. El valor puede cambiar (por ejemplo, con una actualización de SCIM). Tenga en cuenta que cuando la fuente de identidad es Directory Service, el nombre de usuario que emite el Centro de Identidad de IAM CloudTrail coincide con el nombre de usuario que introduce para autenticarse. No es necesario que el nombre de usuario coincida exactamente con el nombre de usuario del directorio de IAM Identity Center.Si tiene acceso a los CloudTrail eventos pero no al directorio del Centro de Identidad de IAM, puede utilizar el nombre de usuario que aparece en el elemento al iniciar sesión.
additionalEventDataPara obtener más información sobre el nombre de usuario enadditionalEventData, consulte El nombre de usuario en los eventos de inicio de sesión CloudTrail.
La asignación de estos dos atributos de usuario a los atributos de usuario correspondientes en un directorio externo se define en IAM Identity Center cuando el origen de identidad es Directory Service. Para obtener información, consulte Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos. Externos IdPs que permiten que los usuarios con SCIM tengan su propio mapeo. Incluso si utiliza el directorio de IAM Identity Center como origen de identidad, puede utilizar el atributo externalId para hacer una referencia cruzada de las entidades principales de seguridad con su directorio externo.
En la siguiente sección se explica cómo buscar a un usuario de IAM Identity Center mediante los atributos username y externalId del usuario.
Visualización de un rol de IAM Identity Center por username y externalId
Para recuperar los atributos de usuario del directorio de IAM Identity Center para un nombre de usuario conocido, solicite primero el correspondiente userId mediante la solicitud de la API GetUserId y, a continuación, emita una solicitud de la API DescribeUser, como se muestra en el ejemplo anterior. En el siguiente ejemplo se muestra cómo se puede recuperar un userId del almacén de identidades para un nombre de usuario específico. Puede omitir el parámetro region si su instancia de IAM Identity Center se encuentra en la región predeterminada con la CLI.
aws identitystore get-user-id \ --identity-store d-9876543210 \ --alternate-identifier '{ "UniqueAttribute": { "AttributePath": "username", "AttributeValue": "anyuser@example.com" } }' \ --region your-region-id
Del mismo modo, puede utilizar el mismo mecanismo cuando conoce el atributo externalId. Actualice la ruta del atributo del ejemplo anterior con el valor externalId y el valor del atributo con la información específica de externalId que está buscando.
Visualización del identificador seguro (SID) de un usuario en Microsoft Active Directory (AD) y externalId
En algunos casos, el IAM Identity Center emite el SID de un usuario en el principalId campo de los CloudTrail eventos, como los que emiten el portal de AWS acceso y el OIDC. APIs Estos casos se están eliminando gradualmente. Recomendamos que sus flujos de trabajo utilicen el atributo AD objectguid cuando necesite un identificador de usuario único de AD. Puede encontrar este valor en el atributo externalId del directorio de IAM Identity Center. Sin embargo, si sus flujos de trabajo requieren el uso del SID, recupere el valor de AD, ya que no está disponible en el Centro de identidades de IAM. APIs
Correlación de eventos de usuario dentro de la misma sesión de usuario describe cómo puede utilizar los campos username y externalId para correlacionar un usuario de IAM Identity Center con un usuario coincidente en un directorio externo. De forma predeterminada, IAM Identity Center asigna externalId al atributo objectguid de AD y esta asignación es fija. IAM Identity Center ofrece a los administradores la flexibilidad de mapear username de forma diferente a la que se asigna por defecto a userprincipalname en AD.
Puede ver estas asignaciones en la consola de IAM Identity Center. Vaya a la pestaña Origen de identidad de Configuración y seleccione Administrar la sincronización en el menú Acciones. En la sección Administrar la sincronización, seleccione el botón Ver asignaciones de atributos.
Si bien puede utilizar cualquier identificador de usuario único de AD disponible en IAM Identity Center para buscar un usuario en AD, le recomendamos que utilice objectguid en sus consultas, ya que es un identificador inmutable. El siguiente ejemplo muestra cómo consultar Microsoft AD con Powershell para recuperar un usuario utilizando el valor objectguid del usuario de 16809ecc-7225-4c20-ad98-30094aefdbca. Una respuesta correcta a esta consulta incluye el SID del usuario.
Install-WindowsFeature -Name RSAT-AD-PowerShell Get-ADUser ` -Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} ` -Properties *
