サインイン CloudTrail イベントのユーザー名 - AWS IAM アイデンティティセンター

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サインイン CloudTrail イベントのユーザー名

IAM アイデンティティセンターは、IAM アイデンティティセンターユーザーのサインインに成功するたびに additionalEventData 要素の UserName フィールドを 1 回出力します。次のリストでは、範囲内の 2 つのサインインイベントと、これらのイベントが発生する条件について説明します。ユーザーがサインインしているときは、いずれかの条件のみが当てはまります。

  • CredentialChallenge

    • CredentialTypePASSWORD「」の場合 — Directory Service または を使用したパスワード認証に適用されます IAM アイデンティティセンターディレクトリ。

    • CredentialTypeEMAIL_OTP「」の場合 - CreateUser API コールで作成したユーザーが初めてサインインを試み、そのパスワードでサインインするためのワンタイムパスワードを 1 回受け取った IAM アイデンティティセンターディレクトリ 場合にのみ に適用されます。

  • UserAuthentication

    • CredentialType が「EXTERNAL_IDP」の場合 — 外部 IdP による認証に適用されます。

認証が成功した場合の UserName の値は次のとおりです。

  • ID ソースが外部 IdP の場合、値は受信 SAML アサーションの nameID 値と等しくなります。この値は、 IAM アイデンティティセンターディレクトリの UserName フィールドと等しくなります。

  • ID ソースが の場合 IAM アイデンティティセンターディレクトリ、出力される値はこのディレクトリの UserNameフィールドと等しくなります。

  • ID ソースが の場合 Directory Service、出力される値は、認証中にユーザーが入力したユーザー名と等しくなります。たとえば、ユーザー名が のユーザーはanyuser@company.comanyuseranyuser@company.com、または company.com/anyuser で認証できます。いずれの場合も、入力された値は CloudTrail でそれぞれ出力されます。

誤ったユーザー名試行のセキュリティマスキング

UserName フィールドには、記録されたイベントが正しくないユーザー名の入力によって引き起こされたコンソールサインインの失敗である場合、文字列 HIDDEN_DUE_TO_SECURITY_REASONS が入ります。次の例のように、テキストに機密情報が含まれている可能性があるため、CloudTrail は、この場合コンテンツを記録しません。

  • ユーザーが誤ってユーザー名フィールドにパスワードを入力した。

  • ユーザーが、個人の E メールアカウント、銀行のサインイン ID、その他のプライベート ID のアカウント名を誤って入力した。

ヒント

IAM Identity Center CloudTrail イベントの背後にあるユーザーを特定するには、 userIdidentityStoreArn を使用することをお勧めします。userName フィールドを使用する必要がある場合は、サインインに成功するたびに 1 回出力される additionalEventData 要素で userName を使用できます。

UserName フィールドの使用方法の詳細については、「同じユーザーセッション内のユーザーイベントの関連付け」を参照してください。