CloudTrail での IAM Identity Center の情報
CloudTrail は、AWS アカウントを作成すると、その中で有効になります。IAM Identity Center でアクティビティが発生すると、そのアクティビティは [イベント履歴] の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。最近のイベントは、AWS アカウント で表示、検索、ダウンロードできます。詳細については、「CloudTrail Event 履歴でのイベントの表示」を参照してください。
注記
CloudTrail イベントでのユーザーアクションのユーザー識別と追跡がどのように進化しているかの詳細については、「AWS セキュリティブログ」の「IAM アイデンティティセンターの CloudTrail イベントに対する重要な変更
IAM Identity Center のイベントなど、AWS アカウント のイベントの継続記録のための証跡を作成します。証跡により、ログファイルを CloudTrail で Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、すべての AWS リージョンに証跡が適用されます。証跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail・ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS サービスを設定できます。詳細については、『AWS CloudTrail ユーザーガイド:』の以下のトピックを参照してください。
AWS アカウント で CloudTrail のログ記録を有効にすると、IAM Identity Center アクションに対して行った API コールがログファイルに記録されます。IAM Identity Center の記録は、他の AWS のサービス記録と一緒にログファイルに記録されます。CloudTrail は、期間とファイルサイズに基づいて、新しいファイルをいつ作成して書き込むかを決定します。
サポートされている IAM アイデンティティセンター API CloudTrail イベント
以下のセクションでは、IAM アイデンティティセンターがサポートする以下の API に関連付けられた CloudTrail イベントについて説明します。
IAM アイデンティティセンター API オペレーションの CloudTrail イベント
次のリストには、パブリック IAM アイデンティティセンター オペレーションが sso.amazonaws.com イベントソースで出力する CloudTrail イベントが含まれています。IAM アイデンティティセンター API オペレーションの詳細については、「IAM アイデンティティセンター API レファレンスガイド」を参照してください。
コンソールが依存する IAM アイデンティティセンターコンソール API オペレーションの追加のイベントが CloudTrail に表示される場合があります。これらのコンソール API に関する詳細については、「サービス認可リファレンス」を参照してください。
ID ストア API オペレーションの CloudTrail イベント
次のリストには、パブリック ID ストアオペレーションがイベントソースで出力する CloudTrail identitystore.amazonaws.comイベントが含まれています。IAM アイデンティティセンターのパブリック API オペレーションの詳細については、「IAM アイデンティティセンター API レファレンスガイド 」を参照してください。
sso-directory.amazonaws.com イベントソースを使用した ID ストアコンソール API オペレーションの追加イベントが CloudTrail に表示される場合があります。これらの API、 コンソールと AWS アクセスポータルをサポートしています。グループにメンバーを追加するなど、特定のオペレーションの発生を検出する必要がある場合は、パブリック API オペレーションとコンソール API オペレーションの両方を検討することをお勧めします。これらのコンソール API に関する詳細については、「サービス認可リファレンス」を参照してください。
OIDC API オペレーションの CloudTrail イベント
次のリストには、パブリック OIDC オペレーションが出力する CloudTrail イベントが含まれています。使用可能な OIDC API オペレーションの詳細については、「OIDC API リファレンス」を参照してください。
-
CreateToken (イベントソース
sso.amazonaws.com) -
CreateTokenWithIAM (イベントソース
sso-oauth.amazonaws.com)
AWS アクセスポータル API オペレーションの CloudTrail イベント
次のリストには、 AWS アクセスポータル API オペレーションが sso.amazonaws.com イベントソースで出力する CloudTrail イベントが含まれています。パブリック API で使用できないと記録された API オペレーションは、AWS アクセスポータルのオペレーションをサポートします。AWS CLI を使用すると、パブリック AWS アクセスポータル API オペレーションとパブリック API で使用できないオペレーションの両方の CloudTrail イベントが発生する可能性があります。パブリック AWS アクセスポータル API オペレーションの詳細については、「AWS アクセスポータル API リファレンス」を参照してください。
-
Authenticate (パブリック API では使用できません。 AWS アクセスポータルへのログインを提供します。)
-
Federate (パブリック API では使用できません。 アプリケーションへのフェデレーションを提供します。)
-
ListApplications (パブリック API では使用できません。 AWS アクセスポータルに表示するユーザーに割り当てられたリソースを提供します。)
-
ListProfilesForApplication (パブリック API では使用できません。 AWS アクセスポータルに表示するアプリケーションメタデータを提供します。)
SCIM API オペレーションの CloudTrail イベント
パブリック SCIM API オペレーションの詳細については、「AWS アクセスポータル API リファレンス」を参照してください。
IAM アイデンティティセンター CloudTrail の ID 情報
各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
-
リクエストが、ルートユーザーまたは AWS Identity and Access Management (IAM) ユーザーのどちらかの認証情報を使用して送信された場合。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが別の AWS サービスによって行われたかどうか。
-
リクエストが IAM アイデンティティセンターによって行われたかどうか。その場合は、CloudTrail イベントで
userIdおよびidentityStoreArnフィールドを使用して、リクエストを開始した IAM アイデンティティセンターユーザーを識別できます。詳細については、「IAM アイデンティティセンターのユーザーが開始した CloudTrail イベントでユーザーを特定する 」を参照してください。
詳細については、「CloudTrail userIdentity エレメント」を参照してください。
注記
現在、IAM アイデンティティセンターは、OIDC API を使用して AWS マネージドウェブアプリケーション (Amazon SageMaker AI Studio など) にユーザーサインインするための CloudTrail イベントを出力しません。これらのウェブアプリケーションは、より広範な AWS マネージドアプリケーション のセットのサブセットであり、Amazon Athena SQL や Amazon S3 Access Grants などのウェブ以外のアプリケーションも含まれます。
