As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# CloudTrail casos de uso do IAM Identity Center
Os CloudTrail eventos que o IAM Identity Center emite podem ser valiosos para uma variedade de casos de uso. As organizações podem usar esses registros de eventos para monitorar e auditar o acesso e a atividade do usuário em seu AWS ambiente. Isso pode ajudar nos casos de uso de conformidade, pois os registros capturam detalhes sobre quem está acessando quais recursos e quando. Você também pode usar os CloudTrail dados para investigações de incidentes, permitindo que as equipes analisem as ações dos usuários e rastreiem comportamentos suspeitos. Além disso, o histórico de eventos pode apoiar os esforços de solução de problemas, fornecendo visibilidade das alterações feitas nas permissões e configurações do usuário ao longo do tempo.
As seções a seguir descrevem os casos de uso fundamentais que informam os fluxos de trabalho, como auditoria, investigação de incidentes e solução de problemas.
## Identificação do usuário nos eventos iniciados pelo usuário CloudTrail do IAM Identity Center
O IAM Identity Center emite dois CloudTrail campos que permitem identificar o usuário do IAM Identity Center por trás dos CloudTrail eventos, como fazer login no IAM Identity Center ou usar o portal de AWS acesso AWS CLI, incluindo o gerenciamento de dispositivos de MFA:
+ `userId` — O identificador de usuário exclusivo e imutável do Identity Store de uma instância do IAM Identity Center.
+ `identityStoreArn` — O nome do recurso da Amazon (ARN) do Identity Store que contém o usuário.
Os `identityStoreArn` campos `userID` e são exibidos no `onBehalfOf` elemento aninhado dentro do [https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)elemento, conforme mostrado no exemplo de registro de CloudTrail eventos a seguir. Esse log de eventos mostra esses dois campos em um evento em que o tipo de `userIdentity` é “`IdentityCenterUser`“. Você também pode encontrar esses campos em eventos para usuários autenticados do IAM Identity Center em que o tipo de `userIdentity` é “`Unknown`“. Os fluxos de trabalho devem aceitar os dois valores de tipo.
```
"userIdentity":{
"type":"IdentityCenterUser",
"accountId":"111122223333",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7"
}
```
**dica**
Recomendamos que você use `userId` e `identityStoreArn` identifique o usuário por trás dos CloudTrail eventos do IAM Identity Center. Os campos `userName` e `principalId` abaixo do elemento `userIdentity` não estão mais disponíveis. Se os fluxos de trabalho, como auditoria ou resposta a incidentes, dependerem do acesso ao `username`, você terá duas opções:
Recuperar o nome de usuário do diretório do IAM Identity Center, conforme explicado em [Nome de usuário em eventos de login CloudTrail](username-sign-in-cloudtrail-events.md).
Obter o `UserName` que o IAM Identity Center emite sob o elemento `additionalEventData` em Sign-in. Essa opção não exige acesso ao diretório do IAM Identity Center. Para obter mais informações, consulte [Nome de usuário em eventos de login CloudTrail](username-sign-in-cloudtrail-events.md).
Para recuperar os detalhes de um usuário, incluindo o campo `username`, você consulta o Identity Store com o ID do usuário e o ID do Identity Store como parâmetros. Você pode realizar essa ação por meio da solicitação [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html) da API ou da CLI. O comando de CLI a seguir é um exemplo. Você pode omitir o parâmetro `region` se a instância do IAM Identity Center estiver na região padrão da CLI.
```
aws identitystore describe-user \
--identity-store-id d-1234567890 \
--user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \
--region {{your-region-id}}
```
Para determinar o valor do Identity Store ID para o comando CLI no exemplo anterior, você pode extrair o ID do Identity Store do valor `identityStoreArn`. No ARN de exemplo `arn:aws:identitystore::111122223333:identitystore/d-1234567890`, o ID do Identity Store é `d-1234567890`. Como alternativa, você pode localizar o ID do Identity Store navegando até a aba **Identity Store** na seção **Configurações** do console do IAM Identity Center.
Se você estiver automatizando a pesquisa de usuários no diretório do IAM Identity Center, recomendamos que você estime a frequência das pesquisas de usuários e considere o [limite do controle de utilização do IAM Identity Center na API Identity Store](limits.md#ssodirectorylimits). O armazenamento em cache dos atributos recuperados do usuário pode ajudar você a permanecer dentro do limite do controle de utilização.
## Como correlacionar eventos de usuário na mesma sessão de usuário
O [`AuthWorkflowID`](understanding-sign-in-events.md)campo emitido em eventos de login permite rastrear todos os CloudTrail eventos associados a uma sequência de login antes do início de uma sessão de usuário do IAM Identity Center.
Para ações do usuário dentro do portal de AWS acesso, o `credentialId` valor é definido como o ID da sessão do usuário do IAM Identity Center usada para solicitar a ação. Você pode usar esse valor para identificar CloudTrail eventos iniciados na mesma sessão de usuário autenticada do IAM Identity Center no portal de AWS acesso.
**nota**
Você não pode usar `credentialId` para correlacionar eventos de login aos eventos subsequentes, como o uso do portal de acesso do AWS . O valor do campo `credentialId` emitido em eventos de login tem uso interno e recomendamos que você não confie nele. O valor do campo `credentialId` emitido para [eventos do portal de acesso do AWS](sso-info-in-cloudtrail.md#cloudtrail-events-access-portal-operations) invocados com o OIDC é igual ao ID do token de acesso.
## Identificação dos detalhes da sessão em segundo plano do usuário nos eventos iniciados pelo usuário CloudTrail do IAM Identity Center
O CloudTrail evento a seguir captura o processo de troca de tokens OAuth 2.0, no qual um token de acesso existente (o`subjectToken`) que representa a sessão interativa do usuário é trocado por um token de atualização (o). `requestedTokenType` O token de atualização permite que tarefas de longa duração iniciadas por qualquer usuário continuem sendo executadas com as permissões do usuário, mesmo após o usuário sair.
Para [sessões em segundo plano de usuários do](user-background-sessions.md) IAM Identity Center, o CloudTrail evento inclui um elemento adicional chamado `resource` no `requestParameters` elemento. O `resource` parâmetro contém o nome do recurso da Amazon (ARN) da tarefa executada em segundo plano. Esse elemento está presente somente nos registros de CloudTrail eventos e não está incluído nas respostas da API IAM do IAM Identity Center ou [CreateTokenWithdo](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) SDK.
```
{
"clientId": "EXAMPLE-CLIENT-ID",
"grantType": "urn:ietf:params:oauth:grant-type:token-exchange",
"code": "HIDDEN_DUE_TO_SECURITY_REASONS",
"redirectUri": "https://example.com/callback",
"assertion": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subjectToken": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subjectTokenType": "urn:ietf:params:oauth:token-type:access_token",
"requestedTokenType": "urn:ietf:params:oauth:token-type:refresh_token",
"resource": "arn:aws:sagemaker:us-west-2:123456789012:training-job/my-job"
}
```
## Como correlacionar usuários entre o IAM Identity Center e diretórios externos
O IAM Identity Center fornece dois atributos de usuário que você pode usar para correlacionar um usuário no diretório ao mesmo usuário em um diretório externo (por exemplo, Microsoft Active Directory e Okta Universal Directory).
+ `externalId` — O identificador externo de um usuário do IAM Identity Center. Recomendamos que você mapeie esse identificador para um identificador de usuário imutável no diretório externo. Observe que o IAM Identity Center não emite esse valor em CloudTrail.
+ `username` — Um valor fornecido pelo cliente com o qual os usuários geralmente fazem login. O valor pode mudar (por exemplo, com uma atualização do SCIM). Observe que, quando a fonte de identidade é Directory Service, o nome de usuário que o IAM Identity Center emite CloudTrail corresponde ao nome de usuário que você digitou para autenticar. O nome de usuário não precisa corresponder exatamente ao nome de usuário no diretório do IAM Identity Center.
Se você tiver acesso aos CloudTrail eventos, mas não ao diretório do IAM Identity Center, poderá usar o nome de usuário emitido sob o `additionalEventData` elemento no login. Para obter mais detalhes sobre o nome de usuário em `additionalEventData`, consulte [Nome de usuário em eventos de login CloudTrail](username-sign-in-cloudtrail-events.md).
O mapeamento desses dois atributos de usuário para os atributos de usuário correspondentes em um diretório externo é definido no IAM Identity Center quando a fonte de identidade é Directory Service. Para obter mais informações, consulte [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md). Externamente, IdPs esse provisionamento, os usuários com SCIM têm seu próprio mapeamento. Mesmo se você usar o diretório do IAM Identity Center como fonte de identidade, você pode usar o atributo `externalId` para fazer referência cruzada de entidades principais de segurança ao diretório externo.
A seção a seguir explica como você pode pesquisar um usuário do IAM Identity Center considerando o `username` e o `externalId`.
## Como visualizar um usuário do IAM Identity Center por nome de usuário e ID externo
Você pode recuperar atributos de usuário do diretório do IAM Identity Center para um nome de usuário conhecido, solicitando primeiro um `userId` correspondente usando a solicitação de API [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html) e, em seguida, emitindo uma solicitação de API [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html) conforme mostrado no exemplo anterior. O exemplo a seguir demonstra como recuperar um `userId` do Identity Store para um nome de usuário específico. Você pode omitir o parâmetro `region` se a instância do IAM Identity Center estiver na região padrão com a CLI.
```
aws identitystore get-user-id \
--identity-store d-9876543210 \
--alternate-identifier '{
"UniqueAttribute": {
"AttributePath": "username",
"AttributeValue": "{{anyuser@example.com}}"
}
}' \
--{{region your-region-id}}
```
Da mesma forma, você pode usar o mesmo mecanismo quando souber o `externalId`. Atualize o caminho do atributo no exemplo anterior com o valor `externalId` e o valor do atributo com o `externalId` específico que está pesquisando.
## Como visualizar o Identificador Seguro (SID) de um usuário no Microsoft Active Directory (AD) e no ExternalID
Em certos casos, o IAM Identity Center emite o SID de um usuário no `principalId` campo de CloudTrail eventos, como aqueles que o portal de AWS acesso e o APIs OIDC emitem. **Esses casos estão sendo gradualmente descontinuados.** Recomendamos que os fluxos de trabalho usem o atributo AD `objectguid` quando você precisar de um identificador de usuário exclusivo do AD. Você pode encontrar esse valor no atributo `externalId` no diretório do IAM Identity Center. No entanto, se seus fluxos de trabalho exigirem o uso de SID, recupere o valor do AD, pois ele não está disponível no IAM Identity Center. APIs
[Como correlacionar eventos de usuário na mesma sessão de usuárioComo correlacionar usuários entre o IAM Identity Center e diretórios externos](#correlating-users) descreve como você pode usar os campos `externalId` e `username` para correlacionar um usuário do IAM Identity Center a um usuário correspondente em um diretório externo. Por padrão, o IAM Identity Center mapeia `externalId` para o atributo `objectguid` no AD, e esse mapeamento é fixo. O IAM Identity Center permite aos administradores a flexibilidade de mapear `username` de forma diferente do mapeamento padrão para o `userprincipalname` no AD.
Você pode visualizar esses mapeamentos no console do IAM Identity Center. Navegue até a aba **Fonte de identidade** de **Configurações** e escolha **Gerenciar sincronização** no menu **Ações**. Na seção **Gerenciar sincronização**, escolha o botão **Exibir mapeamentos de atributos**.
Embora você possa usar qualquer identificador de usuário exclusivo do AD disponível no IAM Identity Center para pesquisar um usuário no AD, recomendamos usá-lo nas consultas `objectguid` porque é um identificador imutável. O exemplo a seguir mostra como consultar o Microsoft AD com o Powershell para recuperar um usuário usando o valor `objectguid` do usuário de `16809ecc-7225-4c20-ad98-30094aefdbca`. Uma resposta bem-sucedida a essa consulta inclui o SID do usuário.
```
Install-WindowsFeature -Name RSAT-AD-PowerShell
Get-ADUser `
-Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} `
-Properties *
```