As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
CloudTrail casos de uso do IAM Identity Center
Os CloudTrail eventos que o IAM Identity Center emite podem ser valiosos para uma variedade de casos de uso. As organizações podem usar esses registros de eventos para monitorar e auditar o acesso e a atividade do usuário em seu AWS ambiente. Isso pode ajudar nos casos de uso de conformidade, pois os registros capturam detalhes sobre quem está acessando quais recursos e quando. Você também pode usar os CloudTrail dados para investigações de incidentes, permitindo que as equipes analisem as ações dos usuários e rastreiem comportamentos suspeitos. Além disso, o histórico de eventos pode apoiar os esforços de solução de problemas, fornecendo visibilidade das alterações feitas nas permissões e configurações do usuário ao longo do tempo.
As seções a seguir descrevem os casos de uso fundamentais que informam os fluxos de trabalho, como auditoria, investigação de incidentes e solução de problemas.
Identificação do usuário nos eventos iniciados pelo usuário CloudTrail do IAM Identity Center
O IAM Identity Center emite dois CloudTrail campos que permitem identificar o usuário do IAM Identity Center por trás dos CloudTrail eventos, como fazer login no IAM Identity Center ou usar o portal de AWS acesso AWS CLI, incluindo o gerenciamento de dispositivos de MFA:
-
userId— O identificador de usuário exclusivo e imutável do Identity Store de uma instância do IAM Identity Center. -
identityStoreArn— O nome do recurso da Amazon (ARN) do Identity Store que contém o usuário.
Os identityStoreArn campos userID e são exibidos no onBehalfOf elemento aninhado dentro do userIdentityelemento, conforme mostrado no exemplo de registro de CloudTrail eventos a seguir. Esse log de eventos mostra esses dois campos em um evento em que o tipo de userIdentity é “IdentityCenterUser“. Você também pode encontrar esses campos em eventos para usuários autenticados do IAM Identity Center em que o tipo de userIdentity é “Unknown“. Os fluxos de trabalho devem aceitar os dois valores de tipo.
"userIdentity":{ "type":"IdentityCenterUser", "accountId":"111122223333", "onBehalfOf": { "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1", "identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" }, "credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7" }
dica
Recomendamos que você use userId e identityStoreArn identifique o usuário por trás dos CloudTrail eventos do IAM Identity Center. Os campos userName e principalId abaixo do elemento userIdentity não estão mais disponíveis. Se os fluxos de trabalho, como auditoria ou resposta a incidentes, dependerem do acesso ao username, você terá duas opções:
-
Recuperar o nome de usuário do diretório do IAM Identity Center, conforme explicado em Nome de usuário em eventos de login CloudTrail.
-
Obter o
UserNameque o IAM Identity Center emite sob o elementoadditionalEventDataem Sign-in. Essa opção não exige acesso ao diretório do IAM Identity Center. Para obter mais informações, consulte Nome de usuário em eventos de login CloudTrail.
Para recuperar os detalhes de um usuário, incluindo o campo username, você consulta o Identity Store com o ID do usuário e o ID do Identity Store como parâmetros. Você pode realizar essa ação por meio da solicitação DescribeUser da API ou da CLI. O comando de CLI a seguir é um exemplo. Você pode omitir o parâmetro region se a instância do IAM Identity Center estiver na região padrão da CLI.
aws identitystore describe-user \ --identity-store-id d-1234567890 \ --user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \ --regionyour-region-id
Para determinar o valor do Identity Store ID para o comando CLI no exemplo anterior, você pode extrair o ID do Identity Store do valor identityStoreArn. No ARN de exemplo arn:aws:identitystore::111122223333:identitystore/d-1234567890, o ID do Identity Store é d-1234567890. Como alternativa, você pode localizar o ID do Identity Store navegando até a aba Identity Store na seção Configurações do console do IAM Identity Center.
Se você estiver automatizando a pesquisa de usuários no diretório do IAM Identity Center, recomendamos que você estime a frequência das pesquisas de usuários e considere o limite do controle de utilização do IAM Identity Center na API Identity Store. O armazenamento em cache dos atributos recuperados do usuário pode ajudar você a permanecer dentro do limite do controle de utilização.
Como correlacionar eventos de usuário na mesma sessão de usuário
O AuthWorkflowIDcampo emitido em eventos de login permite rastrear todos os CloudTrail eventos associados a uma sequência de login antes do início de uma sessão de usuário do IAM Identity Center.
Para ações do usuário dentro do portal de AWS acesso, o credentialId valor é definido como o ID da sessão do usuário do IAM Identity Center usada para solicitar a ação. Você pode usar esse valor para identificar CloudTrail eventos iniciados na mesma sessão de usuário autenticada do IAM Identity Center no portal de AWS acesso.
nota
Você não pode usar credentialId para correlacionar eventos de login aos eventos subsequentes, como o uso do portal de acesso do AWS . O valor do campo credentialId emitido em eventos de login tem uso interno e recomendamos que você não confie nele. O valor do campo credentialId emitido para eventos do portal de acesso do AWS invocados com o OIDC é igual ao ID do token de acesso.
Identificação dos detalhes da sessão em segundo plano do usuário nos eventos iniciados pelo usuário CloudTrail do IAM Identity Center
O CloudTrail evento a seguir captura o processo de troca de tokens OAuth 2.0, no qual um token de acesso existente (osubjectToken) que representa a sessão interativa do usuário é trocado por um token de atualização (o). requestedTokenType O token de atualização permite que tarefas de longa duração iniciadas por qualquer usuário continuem sendo executadas com as permissões do usuário, mesmo após o usuário sair.
Para sessões em segundo plano de usuários do IAM Identity Center, o CloudTrail evento inclui um elemento adicional chamado resource no requestParameters elemento. O resource parâmetro contém o nome do recurso da Amazon (ARN) da tarefa executada em segundo plano. Esse elemento está presente somente nos registros de CloudTrail eventos e não está incluído nas respostas da API IAM do IAM Identity Center ou CreateTokenWithdo SDK.
{ "clientId": "EXAMPLE-CLIENT-ID", "grantType": "urn:ietf:params:oauth:grant-type:token-exchange", "code": "HIDDEN_DUE_TO_SECURITY_REASONS", "redirectUri": "https://example.com/callback", "assertion": "HIDDEN_DUE_TO_SECURITY_REASONS", "subjectToken": "HIDDEN_DUE_TO_SECURITY_REASONS", "subjectTokenType": "urn:ietf:params:oauth:token-type:access_token", "requestedTokenType": "urn:ietf:params:oauth:token-type:refresh_token", "resource": "arn:aws:sagemaker:us-west-2:123456789012:training-job/my-job" }
Como correlacionar usuários entre o IAM Identity Center e diretórios externos
O IAM Identity Center fornece dois atributos de usuário que você pode usar para correlacionar um usuário no diretório ao mesmo usuário em um diretório externo (por exemplo, Microsoft Active Directory e Okta Universal Directory).
-
externalId— O identificador externo de um usuário do IAM Identity Center. Recomendamos que você mapeie esse identificador para um identificador de usuário imutável no diretório externo. Observe que o IAM Identity Center não emite esse valor em CloudTrail. -
username— Um valor fornecido pelo cliente com o qual os usuários geralmente fazem login. O valor pode mudar (por exemplo, com uma atualização do SCIM). Observe que, quando a fonte de identidade é Directory Service, o nome de usuário que o IAM Identity Center emite CloudTrail corresponde ao nome de usuário que você digitou para autenticar. O nome de usuário não precisa corresponder exatamente ao nome de usuário no diretório do IAM Identity Center.Se você tiver acesso aos CloudTrail eventos, mas não ao diretório do IAM Identity Center, poderá usar o nome de usuário emitido sob o
additionalEventDataelemento no login. Para obter mais detalhes sobre o nome de usuário emadditionalEventData, consulte Nome de usuário em eventos de login CloudTrail.
O mapeamento desses dois atributos de usuário para os atributos de usuário correspondentes em um diretório externo é definido no IAM Identity Center quando a fonte de identidade é Directory Service. Para obter mais informações, consulte Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos. Externamente, IdPs esse provisionamento, os usuários com SCIM têm seu próprio mapeamento. Mesmo se você usar o diretório do IAM Identity Center como fonte de identidade, você pode usar o atributo externalId para fazer referência cruzada de entidades principais de segurança ao diretório externo.
A seção a seguir explica como você pode pesquisar um usuário do IAM Identity Center considerando o username e o externalId.
Como visualizar um usuário do IAM Identity Center por nome de usuário e ID externo
Você pode recuperar atributos de usuário do diretório do IAM Identity Center para um nome de usuário conhecido, solicitando primeiro um userId correspondente usando a solicitação de API GetUserId e, em seguida, emitindo uma solicitação de API DescribeUser conforme mostrado no exemplo anterior. O exemplo a seguir demonstra como recuperar um userId do Identity Store para um nome de usuário específico. Você pode omitir o parâmetro region se a instância do IAM Identity Center estiver na região padrão com a CLI.
aws identitystore get-user-id \ --identity-store d-9876543210 \ --alternate-identifier '{ "UniqueAttribute": { "AttributePath": "username", "AttributeValue": "anyuser@example.com" } }' \ --region your-region-id
Da mesma forma, você pode usar o mesmo mecanismo quando souber o externalId. Atualize o caminho do atributo no exemplo anterior com o valor externalId e o valor do atributo com o externalId específico que está pesquisando.
Como visualizar o Identificador Seguro (SID) de um usuário no Microsoft Active Directory (AD) e no ExternalID
Em certos casos, o IAM Identity Center emite o SID de um usuário no principalId campo de CloudTrail eventos, como aqueles que o portal de AWS acesso e o APIs OIDC emitem. Esses casos estão sendo gradualmente descontinuados. Recomendamos que os fluxos de trabalho usem o atributo AD objectguid quando você precisar de um identificador de usuário exclusivo do AD. Você pode encontrar esse valor no atributo externalId no diretório do IAM Identity Center. No entanto, se seus fluxos de trabalho exigirem o uso de SID, recupere o valor do AD, pois ele não está disponível no IAM Identity Center. APIs
Como correlacionar eventos de usuário na mesma sessão de usuário descreve como você pode usar os campos externalId e username para correlacionar um usuário do IAM Identity Center a um usuário correspondente em um diretório externo. Por padrão, o IAM Identity Center mapeia externalId para o atributo objectguid no AD, e esse mapeamento é fixo. O IAM Identity Center permite aos administradores a flexibilidade de mapear username de forma diferente do mapeamento padrão para o userprincipalname no AD.
Você pode visualizar esses mapeamentos no console do IAM Identity Center. Navegue até a aba Fonte de identidade de Configurações e escolha Gerenciar sincronização no menu Ações. Na seção Gerenciar sincronização, escolha o botão Exibir mapeamentos de atributos.
Embora você possa usar qualquer identificador de usuário exclusivo do AD disponível no IAM Identity Center para pesquisar um usuário no AD, recomendamos usá-lo nas consultas objectguid porque é um identificador imutável. O exemplo a seguir mostra como consultar o Microsoft AD com o Powershell para recuperar um usuário usando o valor objectguid do usuário de 16809ecc-7225-4c20-ad98-30094aefdbca. Uma resposta bem-sucedida a essa consulta inclui o SID do usuário.
Install-WindowsFeature -Name RSAT-AD-PowerShell Get-ADUser ` -Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} ` -Properties *
