Informações do IAM Identity Center em CloudTrail - AWS IAM Identity Center
CloudTrail eventos das operações da API do IAM Identity CenterCloudTrail eventos das operações da API do Identity StoreCloudTrail eventos das operações da API OIDCCloudTrail eventos das operações da API do portal de AWS acessoInformações de identidade em CloudTrail eventos do IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Informações do IAM Identity Center em CloudTrail

CloudTrail é ativado no seu Conta da AWS quando você cria a conta. Quando a atividade ocorre no IAM Identity Center, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes no seu Conta da AWS. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.

nota

Para obter mais informações sobre como a identificação do usuário e o rastreamento das ações do usuário em CloudTrail eventos estão evoluindo, consulte Alterações importantes nos CloudTrail eventos do IAM Identity Center no blog AWS de segurança.

Para um registro contínuo dos eventos em seu Conta da AWS, incluindo eventos do IAM Identity Center, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando uma trilha é criada no console, a mesma é aplicada a todas as regiões da AWS . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do AWS CloudTrail :

Quando o CloudTrail registro está ativado em seu Conta da AWS, as chamadas de API feitas para as ações do IAM Identity Center são rastreadas em arquivos de log. Os registros do IAM Identity Center são gravados junto com outros registros AWS de serviço em um arquivo de log. CloudTrail determina quando criar e gravar em um novo arquivo com base no período e no tamanho do arquivo.

CloudTrail eventos para o IAM Identity Center compatível APIs

As seções a seguir fornecem informações sobre os CloudTrail eventos associados aos seguintes APIs que o IAM Identity Center suporta:

CloudTrail eventos das operações da API do IAM Identity Center

A lista a seguir contém os CloudTrail eventos que as operações públicas do IAM Identity Center emitem com a fonte do sso.amazonaws.com evento. Para obter mais informações sobre as operações públicas da API do IAM Identity Center, consulte a Referência da API do IAM Identity Center.

Você pode encontrar eventos adicionais CloudTrail para as operações de API do console do IAM Identity Center nas quais o console depende. Para obter mais informações sobre esses consoles APIs, consulte a Referência de Autorização de Serviço.

CloudTrail eventos das operações da API do Identity Store

A lista a seguir contém os CloudTrail eventos que as operações públicas do Identity Store emitem com a fonte do identitystore.amazonaws.com evento. Para obter mais informações sobre as operações públicas da API Identity Store, consulte a Referência da API Identity Store.

Talvez você veja eventos adicionais nas CloudTrail operações da API do console do Identity Store com a fonte do sso-directory.amazonaws.com evento. Eles APIs oferecem suporte ao console e AWS ao portal de acesso. Se você precisar detectar a ocorrência de uma operação específica, como adicionar membros a um grupo, recomendamos considerar as operações de API pública e de console. Para obter mais informações sobre esses consoles APIs, consulte a Referência de Autorização de Serviço.

CloudTrail eventos das operações da API OIDC

A lista a seguir contém os CloudTrail eventos que as operações públicas do OIDC emitem. Para obter mais informações sobre as operações públicas da API do OIDC, consulte a Referência da API do OIDC.

CloudTrail eventos das operações da API do portal de AWS acesso

A lista a seguir contém os CloudTrail eventos que as operações da API do portal de AWS acesso emitem com a fonte do sso.amazonaws.com evento. As operações de API consideradas indisponíveis na API pública oferecem suporte às operações do portal de AWS acesso. O uso do AWS CLI pode levar à emissão de CloudTrail eventos tanto das operações da API do portal de AWS acesso público quanto daquelas que não estão disponíveis na API pública. Para obter mais informações sobre as operações da API do portal de AWS acesso público, consulte a Referência da API do portal de AWS acesso.

  • Authenticate(Não disponível na API pública. Fornece login no portal de AWS acesso.)

  • Federate(Não disponível na API pública. Fornece federação em aplicativos.)

  • ListAccountRoles

  • ListAccounts

  • ListApplications(Não disponível na API pública. Fornece recursos atribuídos aos usuários para exibição no portal de AWS acesso.)

  • ListProfilesForApplication(Não disponível na API pública. Fornece metadados do aplicativo para exibição no portal de AWS acesso.)

  • GetRoleCredentials

  • Logout

Informações de identidade em CloudTrail eventos do IAM Identity Center

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:

  • Se a solicitação foi feita com as credenciais do usuário root ou do usuário AWS Identity and Access Management (IAM).

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.

  • Se a solicitação foi feita por outro AWS serviço.

  • Se a solicitação foi feita por um usuário do IAM Identity Center. Nesse caso, os identityStoreArn campos userId e estão disponíveis nos CloudTrail eventos para identificar o usuário do IAM Identity Center que iniciou a solicitação. Para obter mais informações, consulte Identificação do usuário e da sessão nos eventos iniciados pelo usuário CloudTrail do IAM Identity Center .

Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

nota

Atualmente, o IAM Identity Center não emite CloudTrail eventos para as seguintes ações:

  • O usuário faz login em aplicativos web AWS gerenciados (por exemplo, Amazon SageMaker AI Studio) com a API OIDC. Esses aplicativos web são um subconjunto do conjunto mais amplo deAWS aplicativos gerenciados, que também inclui aplicativos não web, como Amazon Athena SQL e Amazon S3 Access Grants.

  • Recuperação de atributos de usuário e grupo por aplicativos AWS gerenciados com a API Identity Store.