Nome de usuário em eventos de login CloudTrail - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Nome de usuário em eventos de login CloudTrail

O IAM Identity Center emite o UserName campo abaixo do additionalEventData elemento uma vez por login bem-sucedido de um usuário do IAM Identity Center. A lista a seguir descreve os dois eventos de login no escopo e as condições sob as quais esses eventos acontecem. Somente uma das condições pode ser verdadeira quando um usuário está fazendo login.

  • CredentialChallenge

    • Quando CredentialType é "PASSWORD" — se aplica à autenticação por senha com AWS Directory Service ou Diretório do Centro de Identidade do IAM.

    • Quando CredentialType é "EMAIL_OTP" — aplica-se somente Diretório do Centro de Identidade do IAM quando um usuário criado com uma chamada de CreateUser API tenta fazer login pela primeira vez, e o usuário recebe uma senha de uso único para entrar com essa senha uma vez.

  • UserAuthentication

    • Quando CredentialType é "EXTERNAL_IDP" — aplica-se à autenticação com um IdP externo.

O valor de UserName para autenticações bem-sucedidas é o seguinte:

  • Quando a fonte de identidade é um IdP externo, o valor é igual ao nameID valor na declaração de entrada do SAML. Esse valor é igual ao UserName campo no Diretório do Centro de Identidade do IAM.

  • Quando a fonte de identidade é uma Diretório do Centro de Identidade do IAM, o valor emitido é igual ao UserName campo nesse diretório.

  • Quando a fonte de identidade é a AWS Directory Service, o valor emitido é igual ao nome de usuário que o usuário insere durante a autenticação. Por exemplo, um usuário que tem o nome de usuário anyuser@company.com pode se autenticar com anyuseranyuser@company.com, ou ecompany.com/anyuser, em cada caso, o valor inserido é emitido CloudTrail respectivamente.

Mascaramento de segurança de tentativas incorretas de nome de usuário

O UserName campo contém a string HIDDEN_DUE_TO_SECURITY_REASONS quando o evento gravado é uma falha de login no console causada pela entrada incorreta do nome de usuário. CloudTrail não registra o conteúdo nesse caso porque o texto pode conter informações confidenciais, conforme descrito nos exemplos a seguir:

  • Um usuário digita acidentalmente uma senha no campo de nome do usuário.

  • Um usuário digita acidentalmente o nome de uma conta de email pessoal, um identificador de login de um banco ou algum outro ID privado.

dica

Recomendamos que você use userId e identityStoreArn identifique o usuário por trás dos CloudTrail eventos do IAM Identity Center. Se precisar usar o userName campo, você pode usar o userName abaixo do additionalEventData elemento que é emitido uma vez por login bem-sucedido.

Para obter informações adicionais sobre como você pode usar o UserName campo, consulteCorrelacionando eventos de usuário na mesma sessão de usuário.