Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Accesso ad Amazon Cognito AWS CloudTrail
Amazon Cognito è integrato con AWS CloudTrail un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon Cognito. CloudTrail acquisisce un sottoinsieme di chiamate API per Amazon Cognito come eventi, incluse le chiamate dalla console Amazon Cognito e le chiamate di codice alle operazioni dell'API Amazon Cognito. Se crei un trail, puoi scegliere di distribuire CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Amazon Cognito. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi.** Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta effettuata ad Amazon Cognito, l'indirizzo IP da cui è stata effettuata, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.
Per ulteriori informazioni CloudTrail, incluso come configurarlo e attivarlo, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Puoi anche creare CloudWatch allarmi Amazon per CloudTrail eventi specifici. Ad esempio, puoi impostare CloudWatch per attivare un allarme se una configurazione di un pool di identità è stato modificata. Per ulteriori informazioni, consulta [Creazione di CloudWatch allarmi per CloudTrail eventi: esempi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html).
**Topics**
+ [Informazioni inviate da Amazon Cognito a CloudTrail](#amazon-cognito-info-in-cloudtrail)
+ [Analisi degli eventi di Amazon CloudTrail Cognito con Amazon CloudWatch Logs Insights](#analyzingcteventscwinsight)
+ [Esempi di eventi Amazon Cognito](understanding-amazon-cognito-entries.md)
## Informazioni inviate da Amazon Cognito a CloudTrail
CloudTrail si attiva quando crei il tuo Account AWS. **Quando si verifica un'attività di evento supportata in Amazon Cognito, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi.** Puoi visualizzare, cercare e scaricare eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Amazon Cognito, crea un percorso. Un CloudTrail trail invia i file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un trail nella console, il trail sarà valido in tutte le Regioni . Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-list)
+ [Configurazione delle notifiche di Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali dell'utente IAM o root.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
**Dati riservati in AWS CloudTrail**
Poiché i pool di utenti e i pool di identità elaborano i dati degli utenti, Amazon Cognito oscura alcuni campi privati dei tuoi CloudTrail eventi con il valore. `HIDDEN_DUE_TO_SECURITY_REASONS` Per esempi di campi che non vengono compilati da Amazon Cognito negli eventi, consulta [Esempi di eventi Amazon Cognito](understanding-amazon-cognito-entries.md). Amazon Cognito oscura solo alcuni campi che contengono di solito informazioni utente, come password e token. Amazon Cognito non esegue alcun rilevamento o mascheratura automatica di informazioni identificative personali inserite in campi non privati nelle richieste API.
### Eventi del pool di utenti
Amazon Cognito supporta la registrazione di tutte le azioni elencate nella pagina delle azioni del [pool di utenti](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_Operations.html) come eventi nei CloudTrail file di registro. *Amazon Cognito registra gli eventi del pool di utenti CloudTrail come eventi di gestione.*
Il `eventType` campo in una CloudTrail voce relativa ai pool di utenti di Amazon Cognito indica se l'app ha effettuato la richiesta all'API dei [pool di utenti di Amazon Cognito](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html) o a [un endpoint che fornisce risorse per OpenID Connect, SAML](cognito-userpools-server-contract-reference.md) 2.0 o pagine di accesso gestite. Le richieste API hanno un `eventType` di `AwsApiCall` e le richieste degli endpoint hanno un `eventType` di `AwsServiceEvent`.
Amazon Cognito registra le seguenti richieste nei tuoi servizi di accesso gestito come eventi. CloudTrail
------
#### [ Hosted UI (classic) events ]
**Eventi dell'interfaccia utente (classici) ospitati in CloudTrail**
| Operation | Description |
| --- | --- |
| Login\_GET, CognitoAuthentication | Un utente visualizza o invia le credenziali al tuo [Endpoint Login](login-endpoint.md). |
| OAuth2\_Authorize\_GET, Beta\_Authorize\_GET | Un utente visualizza il tuo [Endpoint Authorize](authorization-endpoint.md). |
| OAuth2Response\_GET, OAuth2Response\_POST | Un utente invia un token IdP al tuo endpoint /oauth2/idpresponse. |
| SAML2Response\_POST, Beta\_SAML2Response\_POST | Un utente invia un'asserzione SAML IdP al tuo endpoint /saml2/idpresponse. |
| Login\_OIDC\_SAML\_POST | Un utente specifica un nome utente nel tuo [Endpoint Login](login-endpoint.md) e lo abbina con un [identificatore IdP](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-integrating-3rd-party-saml-providers.html). |
| Token\_POST, Beta\_Token\_POST | Un utente invia un codice di autorizzazione al tuo [Endpoint Token](token-endpoint.md). |
| Signup\_GET, Signup\_POST | Un utente invia le informazioni di registrazione al tuo endpoint /signup. |
| Confirm\_GET, Confirm\_POST | Un utente invia un codice di conferma nell'interfaccia utente ospitata. |
| ResendCode\_POST | Un utente invia una richiesta per inviare nuovamente un codice di conferma nell'interfaccia utente ospitata. |
| ForgotPassword\_GET, ForgotPassword\_POST | Un utente invia una richiesta per reimpostare la relativa password sul tuo endpoint /forgotPassword. |
| ConfirmForgotPassword\_GET, ConfirmForgotPassword\_POST | Un utente invia un codice al tuo endpoint /confirmForgotPassword che conferma la sua richiesta ForgotPassword. |
| ResetPassword\_GET, ResetPassword\_POST | Un utente invia una nuova password nell'interfaccia utente ospitata. |
| Mfa\_GET, Mfa\_POST | Un utente invia un codice di autenticazione a più fattori (MFA) nell'interfaccia utente ospitata. |
| MfaOption\_GET, MfaOption\_POST | Un utente sceglie il metodo preferito per l'MFA nell'interfaccia utente ospitata. |
| MfaRegister\_GET, MfaRegister\_POST | Un utente invia un codice di autenticazione a più fattori (MFA) nell'interfaccia utente ospitata durante la registrazione dell'MFA. |
| Logout | Un utente si disconnette dal tuo endpoint /logout. |
| SAML2Logout\_POST | Un utente si disconnette dal tuo endpoint /saml2/logout. |
| Error\_GET | Un utente visualizza una pagina di errore nell'interfaccia utente ospitata. |
| UserInfo\_GET, UserInfo\_POST | Un utente o un IdP scambia informazioni con il tuo [Endpoint UserInfo](userinfo-endpoint.md). |
| Confirm\_With\_Link\_GET | Un utente invia una conferma in base a un link inviato da Amazon Cognito in un messaggio e-mail. |
| Event\_Feedback\_GET | Un utente invia un feedback ad Amazon Cognito in merito a [un evento di protezione dalle minacce](cognito-user-pool-settings-threat-protection.md). |
------
#### [ Managed login events ]
**Eventi di accesso gestiti in CloudTrail**
| Operation | Description |
| --- | --- |
| login\_POST | Un utente invia le credenziali al tuo. [Endpoint Login](login-endpoint.md) |
| login\_continue\_POST | Un utente che ha già effettuato l'accesso una volta sceglie di accedere nuovamente. |
| forgotPassword\_POST | Un utente reimposta la propria password. |
| selectChallenge\_POST | Un utente risponde a una richiesta di autenticazione dopo aver inviato il nome utente o le credenziali. |
| confirmUser\_GET | Un utente apre il link in un messaggio [e-mail di conferma o di verifica](signing-up-users-in-your-app.md). |
| mfa\_back\_POST | Un utente sceglie il pulsante Indietro dopo una richiesta MFA. |
| mfa\_options\_POST | Un utente seleziona un'opzione MFA. |
| mfa\_phone\_register\_POST | Un utente invia un numero di telefono da registrare come fattore MFA. Questa operazione fa sì che Amazon Cognito invii un codice MFA al loro numero di telefono. |
| mfa\_phone\_verify\_POST | Un utente invia un codice MFA inviato al proprio numero di telefono. |
| mfa\_phone\_resendCode\_POST | Un utente invia una richiesta per inviare nuovamente un codice MFA al proprio numero di telefono. |
| mfa\_totp\_POST | Un utente invia un codice MFA TOTP. |
| signup\_POST | Un utente invia informazioni alla tua /signup pagina di accesso gestita. |
| signup\_confirm\_POST | Un utente invia un codice di conferma da un'e-mail o un messaggio SMS. |
| verifyCode\_POST | Un utente invia una password monouso (OTP) per l'autenticazione senza password. |
| passkeys\_add\_POST | Un utente invia una richiesta per registrare una nuova credenziale di accesso. |
| passkeys\_add\_GET | Un utente accede alla pagina in cui può registrare una passkey. |
| login\_passkey\_POST | Un utente accede con una passkey. |
------
**Nota**
Amazon Cognito registra`UserSub`, ma non `UserName` nei CloudTrail log, le richieste specifiche di un utente. È possibile trovare un utente per un dato `UserSub`richiamando l'API `ListUsers` e utilizzando un filtro per sub.
### Eventi relativi ai pool di identità
**Eventi di dati**
*Amazon Cognito registra i seguenti eventi di Amazon Cognito Identity come eventi di dati. CloudTrail * [Gli eventi relativi ai dati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) sono operazioni API data-plane ad alto volume che CloudTrail non vengono registrate per impostazione predefinita. Per gli eventi di dati sono previsti costi aggiuntivi.
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)
+ [https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UnlinkIdentity.html](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UnlinkIdentity.html)
Per generare CloudTrail log per queste operazioni API, devi attivare gli eventi relativi ai dati nel tuo percorso e scegliere i selettori di eventi per i pool di identità di **Cognito**. Per ulteriori informazioni, consulta [Registrazione di eventi di dati per i percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) nella *Guida per l'utente di AWS CloudTrail *.
Puoi anche aggiungere i selettori di eventi dei pool di identità al tuo trail con il seguente comando CLI.
```
aws cloudtrail put-event-selectors --trail-name {{}} --advanced-event-selectors \
"{\
\"Name\": \"Cognito Selector\",\
\"FieldSelectors\": [\
{\
\"Field\": \"eventCategory\",\
\"Equals\": [\
\"Data\"\
]\
},\
{\
\"Field\": \"resources.type\",\
\"Equals\": [\
\"AWS::Cognito::IdentityPool\"\
]\
}\
]\
}"
```
**Eventi di gestione**
*Amazon Cognito registra il resto delle operazioni API dei pool di identità di Amazon Cognito come eventi di gestione.* CloudTrail registra le operazioni API degli eventi di gestione per impostazione predefinita.
Per un elenco delle operazioni delle API dei pool di identità di Amazon Cognito a cui Amazon Cognito accede, consulta il riferimento CloudTrail all'API dei pool di identità di Amazon [Cognito](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_Operations.html).
**Amazon Cognito Sync**
Amazon Cognito registra tutte le operazioni API di Amazon Cognito Sync come eventi di gestione. Per un elenco delle operazioni dell'API Amazon Cognito Sync a cui Amazon Cognito accede, consulta il riferimento CloudTrail all'API Amazon [Cognito](https://docs.aws.amazon.com/cognitosync/latest/APIReference/API_Operations.html) Sync.
## Analisi degli eventi di Amazon CloudTrail Cognito con Amazon CloudWatch Logs Insights
Puoi cercare e analizzare i tuoi CloudTrail eventi di Amazon Cognito con Amazon CloudWatch Logs Insights. Quando configuri il percorso per inviare eventi a CloudWatch Logs, CloudTrail invia solo gli eventi che corrispondono alle impostazioni del percorso.
Per interrogare o ricercare CloudTrail gli eventi di Amazon Cognito, nella CloudTrail console, assicurati di selezionare l'opzione **Eventi di gestione** nelle impostazioni del percorso in modo da poter monitorare le operazioni di gestione eseguite sulle tue AWS risorse. Se lo desideri, puoi selezionare l'opzione **Eventi Insights** nelle impostazioni del percorso per identificare errori, attività insolite o comportamenti insoliti dell'utente nell'account.
### Query di Amazon Cognito di esempio
Puoi utilizzare le seguenti query nella CloudWatch console Amazon.
**Query generali**
Trova i 25 log eventi aggiunti più di recente.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"
```
Ottieni un elenco dei 25 eventi di log aggiunti più di recente che includono eccezioni.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
```
**Query di eccezioni ed errori**
Trova i 25 eventi di log aggiunti più di recente con codice di errore `NotAuthorizedException` insieme al bacino d'utenza di Amazon Cognito `sub`.
```
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
```
Trova il numero di record con `sourceIPAddress` e `eventName` corrispondente.
```
filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventName
```
Trova i primi 25 indirizzi IP che hanno attivato un errore `NotAuthorizedException`.
```
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25
```
Trova i primi 25 indirizzi IP che hanno chiamato l'API `ForgotPassword`.
```
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25
```