Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# CloudTrail casos de uso del IAM Identity Center
Los CloudTrail eventos que emite el Centro de Identidad de IAM pueden ser valiosos para una variedad de casos de uso. Las organizaciones pueden usar estos registros de eventos para monitorear y auditar el acceso de los usuarios y la actividad en su AWS entorno. Esto puede ayudar a los casos de uso relacionados con el cumplimiento, ya que los registros recopilan detalles sobre quién accede a qué recursos y cuándo. También puede utilizar los CloudTrail datos para investigar incidentes, lo que permite a los equipos analizar las acciones de los usuarios y rastrear los comportamientos sospechosos. Además, el historial de eventos puede respaldar las iniciativas de solución de problemas, ya que proporciona visibilidad de los cambios realizados en los permisos y las configuraciones de los usuarios a lo largo del tiempo.
En las siguientes secciones se describen los casos de uso fundamentales que sirven de base a sus flujos de trabajo, como la auditoría, la investigación de incidentes y la solución de problemas.
## Identificar al usuario en los eventos iniciados por CloudTrail los usuarios del IAM Identity Center
El Centro de Identidad de IAM emite dos CloudTrail campos que le permiten identificar al usuario del Centro de Identidad de IAM detrás de los CloudTrail eventos, como iniciar sesión en el Centro de Identidad de IAM o usar el portal de AWS acceso AWS CLI, incluida la administración de los dispositivos de MFA:
+ `userId`: el identificador de usuario único e inmutable del almacén de identidades de una instancia de IAM Identity Center.
+ `identityStoreArn`: el nombre de recurso de Amazon (ARN) del almacén de identidades que contiene el usuario.
Los `identityStoreArn` campos `userID` y se muestran en el `onBehalfOf` elemento anidado dentro del elemento, como se muestra en el [https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)siguiente ejemplo de registro de eventos. CloudTrail Este registro de eventos muestra estos dos campos en un evento en el que el tipo de `userIdentity` es «`IdentityCenterUser`». También puede encontrar estos campos en los eventos de los usuarios autenticados de IAM Identity Center en los que el tipo de `userIdentity` es «`Unknown`». Sus flujos de trabajo deben aceptar ambos valores de tipo.
```
"userIdentity":{
"type":"IdentityCenterUser",
"accountId":"111122223333",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7"
}
```
**sugerencia**
Le recomendamos que utilice `userId` y `identityStoreArn` para identificar al usuario responsable de los eventos del IAM Identity Center CloudTrail . Los campos `principalId` y `userName` y del elemento `userIdentity` ya no están disponibles. Si sus flujos de trabajo, como la auditoría o la respuesta a incidentes, dependen de tener acceso a ellos `username`, tiene dos opciones:
Recupere el nombre de usuario del directorio de IAM Identity Center como se explica en [El nombre de usuario en los eventos de inicio de sesión CloudTrail](username-sign-in-cloudtrail-events.md).
Obtenga el `UserName` que IAM Identity Center emite en el elemento `additionalEventData` en Iniciar sesión. Esta opción no requiere acceso al directorio de IAM Identity Center. Para obtener más información, consulte [El nombre de usuario en los eventos de inicio de sesión CloudTrail](username-sign-in-cloudtrail-events.md).
Para recuperar los detalles de un usuario, incluido el campo `username`, consulte el almacén de identidades con el ID de usuario y el ID del almacén de identidades como parámetros. Puede realizar esta acción mediante la solicitud de la API [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html) o mediante la CLI. El siguiente comando de la CLI es un ejemplo. Puede omitir el parámetro `region` si la instancia de IAM Identity Center se encuentra en la región predeterminada de la CLI.
```
aws identitystore describe-user \
--identity-store-id d-1234567890 \
--user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \
--region {{your-region-id}}
```
Para determinar el valor del identificador del almacén de identidades para el comando de la CLI del ejemplo anterior, puede extraer el identificador del almacén de identidades del valor `identityStoreArn`. En el ARN de ejemplo `arn:aws:identitystore::111122223333:identitystore/d-1234567890`, el ID del almacén de identidades es `d-1234567890`. Como alternativa, puede localizar el ID del almacén de identidades accediendo a la pestaña **Identity Store** de la sección **Configuración** de la consola de IAM Identity Center.
Si va a automatizar la búsqueda de usuarios en el directorio de IAM Identity Center, le recomendamos que calcule la frecuencia de las búsquedas de usuarios y que tenga en cuenta el límite máximo de [ IAM Identity Center en la API del almacén de identidades.](limits.md#ssodirectorylimits) El almacenamiento en caché de los atributos de usuario recuperados puede ayudarle a mantenerse dentro del límite máximo.
## Correlación de eventos de usuario dentro de la misma sesión de usuario
El [`AuthWorkflowID`](understanding-sign-in-events.md)campo emitido en los eventos de inicio de sesión permite rastrear todos los CloudTrail eventos asociados a una secuencia de inicio de sesión antes del comienzo de una sesión de usuario del IAM Identity Center.
Para las acciones de los usuarios dentro del portal de AWS acceso, el `credentialId` valor se establece en el ID de la sesión del usuario del Centro de Identidad de IAM utilizada para solicitar la acción. Puede utilizar este valor para identificar CloudTrail los eventos iniciados dentro de la misma sesión de usuario autenticada del IAM Identity Center en el AWS portal de acceso.
**nota**
No se puede utilizar `credentialId` para correlacionar los eventos de inicio de sesión con los eventos posteriores, como el uso del portal de acceso de AWS . El valor del campo `credentialId` emitido en los eventos de inicio de sesión tiene un uso interno y le recomendamos que no confíe en él. El valor del `credentialId` campo emitido para los [eventos del portal de acceso de AWS](sso-info-in-cloudtrail.md#cloudtrail-events-access-portal-operations) invocados con OIDC es igual al ID del token de acceso.
## Identificar los detalles de la sesión de fondo del usuario en los eventos iniciados por los usuarios del IAM Identity Center CloudTrail
El siguiente CloudTrail evento captura el proceso de intercambio de tokens OAuth 2.0, en el que un token de acceso existente (el`subjectToken`) que representa la sesión interactiva del usuario se intercambia por un token de actualización (el`requestedTokenType`). El token de actualización permite que cualquier tarea de larga duración que haya iniciado continúe ejecutándose con los permisos del usuario, incluso después de cerrar sesión.
En el caso de las [sesiones en segundo plano de los usuarios](user-background-sessions.md) del IAM Identity Center, el CloudTrail evento incluye un elemento adicional denominado «`resource`el `requestParameters` elemento». El parámetro `resource` contiene el nombre de recurso de Amazon (ARN) del trabajo que se ejecuta en segundo plano. Este elemento solo está presente en los registros de CloudTrail eventos y no se incluye en las respuestas del SDK o la API de [CreateTokenWithIAM](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Identity Center.
```
{
"clientId": "EXAMPLE-CLIENT-ID",
"grantType": "urn:ietf:params:oauth:grant-type:token-exchange",
"code": "HIDDEN_DUE_TO_SECURITY_REASONS",
"redirectUri": "https://example.com/callback",
"assertion": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subjectToken": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subjectTokenType": "urn:ietf:params:oauth:token-type:access_token",
"requestedTokenType": "urn:ietf:params:oauth:token-type:refresh_token",
"resource": "arn:aws:sagemaker:us-west-2:123456789012:training-job/my-job"
}
```
## Correlación de usuarios entre IAM Identity Center y directorios externos
IAM Identity Center proporciona dos atributos de usuario que puede utilizar para correlacionar un usuario de su directorio con el mismo usuario de un directorio externo (por ejemplo, Microsoft Active Directory y Okta Universal Directory).
+ `externalId`: el identificador externo de un usuario de IAM Identity Center Se recomienda asignar este identificador a un identificador de usuario inmutable en el directorio externo. Tenga en cuenta que el Centro de identidades de IAM no emite este valor en. CloudTrail
+ `username`: un valor proporcionado por el cliente con el que los usuarios suelen iniciar sesión. El valor puede cambiar (por ejemplo, con una actualización de SCIM). Tenga en cuenta que cuando la fuente de identidad es Directory Service, el nombre de usuario que emite el Centro de Identidad de IAM CloudTrail coincide con el nombre de usuario que introduce para autenticarse. No es necesario que el nombre de usuario coincida exactamente con el nombre de usuario del directorio de IAM Identity Center.
Si tiene acceso a los CloudTrail eventos pero no al directorio del Centro de Identidad de IAM, puede utilizar el nombre de usuario que aparece en el elemento al iniciar sesión. `additionalEventData` Para obtener más información sobre el nombre de usuario en `additionalEventData`, consulte [El nombre de usuario en los eventos de inicio de sesión CloudTrail](username-sign-in-cloudtrail-events.md).
La asignación de estos dos atributos de usuario a los atributos de usuario correspondientes en un directorio externo se define en IAM Identity Center cuando el origen de identidad es Directory Service. Para obtener información, consulte [Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos](attributemappingsconcept.md). Externo, IdPs que proporciona a los usuarios con SCIM su propio mapeo. Incluso si utiliza el directorio de IAM Identity Center como origen de identidad, puede utilizar el atributo `externalId` para hacer una referencia cruzada de las entidades principales de seguridad con su directorio externo.
En la siguiente sección se explica cómo buscar a un usuario de IAM Identity Center mediante los atributos `username` y `externalId` del usuario.
## Visualización de un rol de IAM Identity Center por username y externalId
Para recuperar los atributos de usuario del directorio de IAM Identity Center para un nombre de usuario conocido, solicite primero el correspondiente `userId` mediante la solicitud de la API [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html) y, a continuación, emita una solicitud de la API [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html), como se muestra en el ejemplo anterior. En el siguiente ejemplo se muestra cómo se puede recuperar un `userId` del almacén de identidades para un nombre de usuario específico. Puede omitir el parámetro `region` si su instancia de IAM Identity Center se encuentra en la región predeterminada con la CLI.
```
aws identitystore get-user-id \
--identity-store d-9876543210 \
--alternate-identifier '{
"UniqueAttribute": {
"AttributePath": "username",
"AttributeValue": "{{anyuser@example.com}}"
}
}' \
--{{region your-region-id}}
```
Del mismo modo, puede utilizar el mismo mecanismo cuando conoce el atributo `externalId`. Actualice la ruta del atributo del ejemplo anterior con el valor `externalId` y el valor del atributo con la información específica de `externalId` que está buscando.
## Visualización del identificador seguro (SID) de un usuario en Microsoft Active Directory (AD) y externalId
En algunos casos, el IAM Identity Center emite el SID de un usuario en el `principalId` campo de los CloudTrail eventos, como los que emiten el portal de AWS acceso y el OIDC. APIs **Estos casos se están eliminando gradualmente.** Recomendamos que sus flujos de trabajo utilicen el atributo AD `objectguid` cuando necesite un identificador de usuario único de AD. Puede encontrar este valor en el atributo `externalId` del directorio de IAM Identity Center. Sin embargo, si sus flujos de trabajo requieren el uso del SID, recupere el valor de AD, ya que no está disponible en el Centro de identidades de IAM. APIs
[Correlación de eventos de usuario dentro de la misma sesión de usuarioCorrelación de usuarios entre IAM Identity Center y directorios externos](#correlating-users) describe cómo puede utilizar los campos `username` y `externalId` para correlacionar un usuario de IAM Identity Center con un usuario coincidente en un directorio externo. De forma predeterminada, IAM Identity Center asigna `externalId` al atributo `objectguid` de AD y esta asignación es fija. IAM Identity Center ofrece a los administradores la flexibilidad de mapear `username` de forma diferente a la que se asigna por defecto a `userprincipalname` en AD.
Puede ver estas asignaciones en la consola de IAM Identity Center. Vaya a la pestaña **Origen de identidad** de **Configuración** y seleccione **Administrar la sincronización** en el menú **Acciones**. En la sección **Administrar la sincronización**, seleccione el botón **Ver asignaciones de atributos**.
Si bien puede utilizar cualquier identificador de usuario único de AD disponible en IAM Identity Center para buscar un usuario en AD, le recomendamos que utilice `objectguid` en sus consultas, ya que es un identificador inmutable. El siguiente ejemplo muestra cómo consultar Microsoft AD con Powershell para recuperar un usuario utilizando el valor `objectguid` del usuario de `16809ecc-7225-4c20-ad98-30094aefdbca`. Una respuesta correcta a esta consulta incluye el SID del usuario.
```
Install-WindowsFeature -Name RSAT-AD-PowerShell
Get-ADUser `
-Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} `
-Properties *
```