Nama pengguna dalam acara masuk CloudTrail - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Nama pengguna dalam acara masuk CloudTrail

IAM Identity Center memancarkan UserName bidang di bawah additionalEventData elemen sekali per login yang berhasil dari pengguna IAM Identity Center. Daftar berikut menjelaskan dua peristiwa masuk dalam ruang lingkup, dan kondisi di mana peristiwa ini terjadi. Hanya satu kondisi yang bisa benar saat pengguna masuk.

  • CredentialChallenge

    • CredentialTypeKapan “PASSWORD” - berlaku untuk otentikasi kata sandi dengan AWS Directory Service atau Direktori Pusat Identitas IAM.

    • When CredentialType is EMAIL_OTP "" - hanya berlaku untuk Direktori Pusat Identitas IAM ketika pengguna yang dibuat dengan panggilan CreateUser API mencoba masuk untuk pertama kalinya, dan pengguna menerima kata sandi satu kali untuk masuk dengan kata sandi itu sekali.

  • UserAuthentication

    • When CredentialType is "EXTERNAL_IDP" - berlaku untuk otentikasi dengan iDP eksternal.

Nilai UserName untuk otentikasi yang berhasil adalah sebagai berikut:

  • Ketika sumber identitas adalah IDP eksternal, nilainya sama dengan nameID nilai dalam pernyataan SAMP yang masuk. Nilai ini sama dengan UserName bidang di Direktori Pusat Identitas IAM.

  • Ketika sumber identitas adalah Direktori Pusat Identitas IAM, nilai yang dipancarkan sama dengan UserName bidang dalam direktori ini.

  • Ketika sumber identitas adalah AWS Directory Service, nilai yang dipancarkan sama dengan nama pengguna yang dimasukkan pengguna selama otentikasi. Misalnya, pengguna yang memiliki nama penggunaanyuser@company.com, dapat mengautentikasi dengananyuser,anyuser@company.com, ataucompany.com/anyuser, dan dalam setiap kasus nilai yang dimasukkan dipancarkan masing-masing. CloudTrail

Penutupan keamanan dari upaya nama pengguna yang salah

UserNameBidang berisi string HIDDEN_DUE_TO_SECURITY_REASONS ketika peristiwa yang direkam adalah kegagalan masuk konsol yang disebabkan oleh input nama pengguna yang salah. CloudTrail tidak merekam konten dalam kasus ini karena teks dapat berisi informasi sensitif, seperti yang dijelaskan dalam contoh berikut:

  • Pengguna secara tidak sengaja mengetikkan kata sandi di bidang nama pengguna.

  • Pengguna secara tidak sengaja mengetikkan nama akun akun email pribadi, pengenal masuk bank, atau ID pribadi lainnya.

Tip

Kami menyarankan Anda menggunakan userId dan identityStoreArn untuk mengidentifikasi pengguna di balik CloudTrail peristiwa IAM Identity Center. Jika Anda perlu menggunakan userName bidang, Anda dapat menggunakan additionalEventData elemen di userName bawah yang dipancarkan sekali per login yang berhasil.

Untuk informasi tambahan tentang bagaimana Anda dapat menggunakan UserName bidang ini, lihatMengkorelasikan peristiwa pengguna dalam sesi pengguna yang sama.