サインイン CloudTrail イベントのユーザー名 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サインイン CloudTrail イベントのユーザー名

IAM Identity Center は、IAM Identity Center ユーザーのサインインに成功するたびに additionalEventData要素の UserNameフィールドを 1 回出力します。次のリストでは、範囲内の 2 つのサインインイベントと、これらのイベントが発生する条件について説明します。ユーザーがサインインしているときに当てはまる条件は 1 つだけです。

  • CredentialChallenge

    • CredentialTypePASSWORD「」の場合 – AWS Directory Service または を使用したパスワード認証に適用されます IAM アイデンティティセンターディレクトリ。

    • CredentialTypeEMAIL_OTP「」の場合 - CreateUser API コールで作成したユーザーが初めてサインインを試み、そのパスワードでサインインするためのワンタイムパスワードを 1 回受け取った IAM アイデンティティセンターディレクトリ 場合にのみ に適用されます。

  • UserAuthentication

    • CredentialTypeEXTERNAL_IDP「」の場合 — 外部 IdP による認証に適用されます。

認証が成功UserNameした場合の の値は次のとおりです。

  • ID ソースが外部 IdP の場合、値は受信 SAML アサーションnameIDの値と等しくなります。この値は、 の UserNameフィールドと等しくなります IAM アイデンティティセンターディレクトリ。

  • ID ソースが の場合 IAM アイデンティティセンターディレクトリ、出力される値はこのディレクトリの UserNameフィールドと等しくなります。

  • ID ソースが の場合 AWS Directory Service、出力される値は、認証中にユーザーが入力したユーザー名と等しくなります。たとえば、ユーザー名が のユーザーはanyuser@company.com、、anyuseranyuser@company.comまたは で認証できます。いずれの場合もcompany.com/anyuser、入力された値は CloudTrail でそれぞれ出力されます。

誤ったユーザー名試行のセキュリティマスキング

UserName フィールドには、記録されたイベントが正しくないユーザー名の入力によって引き起こされたコンソールサインインの失敗である場合、文字列 HIDDEN_DUE_TO_SECURITY_REASONS が入ります。次の例で説明するように、CloudTrail はテキストに機密情報が含まれている可能性があるため、この場合はコンテンツを記録しません。

  • ユーザーが誤ってユーザー名フィールドにパスワードを入力した。

  • ユーザーが、個人の E メールアカウント、銀行のサインイン ID、その他のプライベート ID のアカウント名を誤って入力した。

ヒント

IAM Identity Center CloudTrail イベントの背後にあるユーザーを特定するidentityStoreArnには、 userIdと を使用することをお勧めします。userName フィールドを使用する必要がある場合は、サインインに成功するたびに 1 回出力される additionalEventData要素userNameで を使用できます。

UserName フィールドの使用方法の詳細については、「」を参照してください同じユーザーセッション内のユーザーイベントの関連付け