El nombre de usuario en los eventos de inicio de sesión CloudTrail - AWS IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El nombre de usuario en los eventos de inicio de sesión CloudTrail

IAM Identity Center emite el campo UserName situado debajo del elemento additionalEventData una vez por cada inicio de sesión correcto de un usuario de IAM Identity Center. En la siguiente lista se describen los dos eventos de inicio de sesión incluidos en el ámbito de aplicación y las condiciones en las que se producen. Solo una de las condiciones puede cumplirse cuando un usuario inicia sesión.

  • CredentialChallenge

    • Cuando CredentialType es «PASSWORD»: se aplica a la autenticación por contraseña con Directory Service o Directorio de IAM Identity Center.

    • Cuando CredentialType es «EMAIL_OTP»: solo se aplica Directorio de IAM Identity Center cuando un usuario creado con una llamada a la CreateUser API intenta iniciar sesión por primera vez y recibe una contraseña de un solo uso para iniciar sesión con esa contraseña una vez.

  • UserAuthentication

    • Cuando CredentialType es «EXTERNAL_IDP»: se aplica a la autenticación con un IdP externo.

El valor de UserName para que las autenticaciones se realicen correctamente es el siguiente:

  • Cuando el origen de identidad es un IdP externo, el valor es igual al valor nameID de la aserción SAML entrante. Este valor es igual al campo UserName de Directorio de IAM Identity Center.

  • Cuando la fuente de identidad es un Directorio de IAM Identity Center, el valor emitido es igual al UserName campo de este directorio.

  • Cuando la fuente de identidad es la Directory Service, el valor emitido es igual al nombre de usuario que el usuario introduce durante la autenticación. Por ejemplo, un usuario que tiene el nombre de usuario anyuser@company.com puede autenticarse con anyuseranyuser@company.com, o ycompany.com/anyuser, en cada caso, el valor introducido se emite CloudTrail respectivamente.

Enmascaramiento de seguridad de los intentos incorrectos con el nombre de usuario

El UserName campo contiene la cadena HIDDEN_DUE_TO_SECURITY_REASONS cuando el evento registrado es un error de inicio de sesión en la consola provocado por una introducción incorrecta del nombre de usuario. CloudTrail en este caso, no graba el contenido porque el texto podría contener información confidencial, como se describe en los siguientes ejemplos:

  • Un usuario escribe por error una contraseña en el campo de nombre de usuario.

  • Un usuario escribe por error el nombre de una cuenta de correo electrónico personal, un identificador de inicio de sesión en un banco u otro identificador privado.

sugerencia

Le recomendamos que utilice userId y identityStoreArn para identificar al usuario responsable de los CloudTrail eventos del IAM Identity Center. Si necesita usar el campo userName, puede usar el valor de userName en el elemento additionalEventData que se emite una vez por cada inicio de sesión correcto.

Para obtener información adicional sobre cómo usar el campo UserName, consulte Correlación de eventos de usuario dentro de la misma sesión de usuario.