Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# CloudTrail kasus penggunaan untuk Pusat Identitas IAM
CloudTrail Peristiwa yang dipancarkan IAM Identity Center dapat berharga untuk berbagai kasus penggunaan. Organizations dapat menggunakan log peristiwa ini untuk memantau dan mengaudit akses dan aktivitas pengguna dalam AWS lingkungan mereka. Ini dapat membantu kasus penggunaan kepatuhan, karena log menangkap detail tentang siapa yang mengakses sumber daya apa dan kapan. Anda juga dapat menggunakan CloudTrail data untuk investigasi insiden, yang memungkinkan tim menganalisis tindakan pengguna dan melacak perilaku mencurigakan. Selain itu, riwayat acara dapat mendukung upaya pemecahan masalah, memberikan visibilitas terhadap perubahan yang dilakukan pada izin dan konfigurasi pengguna dari waktu ke waktu.
Bagian berikut menjelaskan kasus penggunaan dasar yang menginformasikan alur kerja Anda seperti audit, investigasi insiden, dan pemecahan masalah.
## Mengidentifikasi pengguna dalam peristiwa yang dimulai oleh pengguna CloudTrail IAM Identity Center
Pusat Identitas IAM memancarkan dua CloudTrail bidang yang memungkinkan Anda mengidentifikasi pengguna Pusat Identitas IAM di balik CloudTrail peristiwa, seperti masuk ke Pusat Identitas IAM atau AWS CLI, dan menggunakan portal AWS akses, termasuk mengelola perangkat MFA:
+ `userId`— Pengidentifikasi pengguna yang unik dan tidak dapat diubah dari Identity Store dari instance IAM Identity Center.
+ `identityStoreArn`— Nama Sumber Daya Amazon (ARN) dari Toko Identitas yang berisi pengguna.
`identityStoreArn`Bidang `userID` dan ditampilkan dalam `onBehalfOf` elemen bersarang di dalam [https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)elemen seperti yang ditunjukkan dalam contoh log CloudTrail peristiwa berikut. Log peristiwa ini menunjukkan dua bidang ini pada acara di mana `userIdentity` jenisnya adalah "`IdentityCenterUser`”. Anda juga dapat menemukan bidang ini pada acara untuk pengguna Pusat Identitas IAM yang diautentikasi di mana `userIdentity` jenisnya adalah "”`Unknown`. Alur kerja Anda harus menerima kedua nilai tipe.
```
"userIdentity":{
"type":"IdentityCenterUser",
"accountId":"111122223333",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7"
}
```
**Tip**
Kami menyarankan Anda menggunakan `userId` dan `identityStoreArn` untuk mengidentifikasi pengguna di balik CloudTrail peristiwa IAM Identity Center. `principalId`Bidang `userName` dan di bawah `userIdentity` elemen tidak lagi tersedia. Jika alur kerja Anda, seperti audit atau respons insiden, bergantung pada memiliki akses ke`username`, Anda memiliki dua opsi:
Ambil nama pengguna dari direktori IAM Identity Center seperti yang dijelaskan dalam. [Nama pengguna dalam acara masuk CloudTrail](username-sign-in-cloudtrail-events.md)
Dapatkan Pusat Identitas IAM `UserName` yang dipancarkan di bawah `additionalEventData` elemen dalam Masuk. Opsi ini tidak memerlukan akses ke direktori IAM Identity Center. Untuk informasi selengkapnya, lihat [Nama pengguna dalam acara masuk CloudTrail](username-sign-in-cloudtrail-events.md).
Untuk mengambil detail pengguna, termasuk `username` bidang, Anda menanyakan Toko Identitas dengan ID pengguna dan ID Toko Identitas sebagai parameter. Anda dapat melakukan tindakan ini melalui permintaan [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)API atau melalui CLI. Berikut ini adalah contoh perintah CLI. Anda dapat menghilangkan `region` parameter jika instance IAM Identity Center Anda berada di Wilayah default CLI.
```
aws identitystore describe-user \
--identity-store-id d-1234567890 \
--user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \
--region your-region-id
```
Untuk menentukan nilai ID Toko Identitas untuk perintah CLI pada contoh sebelumnya, Anda dapat mengekstrak ID Toko Identitas dari nilai`identityStoreArn`. Dalam contoh ARN`arn:aws:identitystore::111122223333:identitystore/d-1234567890`, ID Toko Identitas adalah. `d-1234567890` Atau, Anda dapat menemukan ID Toko Identitas dengan menavigasi ke tab **Identity Store** di bagian **Pengaturan konsol** Pusat Identitas IAM.
Jika Anda mengotomatiskan pencarian pengguna di direktori IAM Identity Center, kami sarankan Anda memperkirakan frekuensi pencarian pengguna, dan mempertimbangkan batas [throttle IAM Identity Center pada Identity Store API](limits.md#ssodirectorylimits). Caching atribut pengguna yang diambil dapat membantu Anda tetap dalam batas throttle.
## Mengkorelasikan peristiwa pengguna dalam sesi pengguna yang sama
[`AuthWorkflowID`](understanding-sign-in-events.md)Bidang yang dipancarkan dalam peristiwa login memungkinkan pelacakan semua CloudTrail peristiwa yang terkait dengan urutan masuk sebelum dimulainya sesi pengguna Pusat Identitas IAM.
Untuk tindakan pengguna di dalam portal AWS akses, `credentialId` nilai diatur ke ID sesi pengguna Pusat Identitas IAM yang digunakan untuk meminta tindakan. Anda dapat menggunakan nilai ini untuk mengidentifikasi CloudTrail peristiwa yang dimulai dalam sesi pengguna Pusat Identitas IAM yang diautentikasi yang sama di portal akses. AWS
**catatan**
Anda tidak dapat menggunakan `credentialId` untuk menghubungkan peristiwa login dengan peristiwa berikutnya, seperti penggunaan portal AWS akses. Nilai `credentialId` bidang yang dipancarkan dalam peristiwa login memiliki penggunaan internal, dan kami menyarankan Anda untuk tidak mengandalkannya. Nilai `credentialId` bidang yang dipancarkan untuk [peristiwa portal AWS akses](sso-info-in-cloudtrail.md#cloudtrail-events-access-portal-operations) yang dipanggil dengan OIDC sama dengan ID token akses.
## Mengidentifikasi detail sesi latar belakang pengguna dalam acara yang diprakarsai pengguna CloudTrail IAM Identity Center
CloudTrail Peristiwa berikut menangkap proses pertukaran token OAuth 2.0, di mana token akses yang ada (the`subjectToken`) yang mewakili sesi interaktif pengguna ditukar dengan token penyegaran (the`requestedTokenType`). Token penyegaran memungkinkan setiap pengguna yang memulai pekerjaan yang berjalan lama untuk terus berjalan dengan izin pengguna, bahkan setelah pengguna keluar.
Untuk [sesi latar belakang pengguna](user-background-sessions.md) IAM Identity Center, CloudTrail acara tersebut menyertakan elemen tambahan yang disebut `resource` dalam `requestParameters` elemen. `resource`Parameter berisi Nama Sumber Daya Amazon (ARN) dari pekerjaan yang berjalan di latar belakang. Elemen ini hanya ada dalam catatan CloudTrail peristiwa dan tidak termasuk dalam respons IAM Identity Center [CreateTokenWithIAM](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) API atau SDK.
```
{
"clientId": "EXAMPLE-CLIENT-ID",
"grantType": "urn:ietf:params:oauth:grant-type:token-exchange",
"code": "HIDDEN_DUE_TO_SECURITY_REASONS",
"redirectUri": "https://example.com/callback",
"assertion": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subjectToken": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subjectTokenType": "urn:ietf:params:oauth:token-type:access_token",
"requestedTokenType": "urn:ietf:params:oauth:token-type:refresh_token",
"resource": "arn:aws:sagemaker:us-west-2:123456789012:training-job/my-job"
}
```
## Menghubungkan pengguna antara IAM Identity Center dan direktori eksternal
IAM Identity Center menyediakan dua atribut pengguna yang dapat Anda gunakan untuk menghubungkan pengguna dalam direktorinya ke pengguna yang sama di direktori eksternal (misalnya, Microsoft Active Directory danOkta Universal Directory).
+ `externalId`— Pengidentifikasi eksternal dari pengguna IAM Identity Center. Kami menyarankan Anda memetakan pengenal ini ke pengidentifikasi pengguna yang tidak dapat diubah di direktori eksternal. Perhatikan bahwa IAM Identity Center tidak memancarkan nilai ini. CloudTrail
+ `username`— Nilai yang diberikan pelanggan yang biasanya digunakan pengguna untuk masuk. Nilai dapat berubah (misalnya, dengan pembaruan SCIM). Perhatikan bahwa ketika sumber identitas berada Directory Service, nama pengguna yang dipancarkan IAM Identity Center CloudTrail cocok dengan nama pengguna yang Anda masukkan untuk mengautentikasi. Nama pengguna tidak harus sama persis dengan nama pengguna di direktori IAM Identity Center.
Jika Anda memiliki akses ke CloudTrail acara tetapi bukan direktori Pusat Identitas IAM, Anda dapat menggunakan nama pengguna yang dipancarkan di bawah `additionalEventData` elemen saat masuk. Untuk detail selengkapnya tentang nama pengguna di`additionalEventData`, lihat[Nama pengguna dalam acara masuk CloudTrail](username-sign-in-cloudtrail-events.md).
Pemetaan kedua atribut pengguna ini ke atribut pengguna yang sesuai dalam direktori eksternal didefinisikan di Pusat Identitas IAM ketika sumber identitas adalah. Directory Service Untuk informasi, lihat. [Pemetaan atribut antara Pusat Identitas IAM dan direktori Penyedia Identitas Eksternal](attributemappingsconcept.md) Eksternal IdPs yang menyediakan pengguna dengan SCIM memiliki pemetaan sendiri. Bahkan jika Anda menggunakan direktori IAM Identity Center sebagai sumber identitas, Anda dapat menggunakan `externalId` atribut untuk referensi silang prinsip keamanan ke direktori eksternal Anda.
Bagian berikut menjelaskan bagaimana Anda dapat mencari pengguna IAM Identity Center yang diberikan pengguna `username` dan`externalId`.
## Melihat pengguna IAM Identity Center dengan nama pengguna dan externalLID
Anda dapat mengambil atribut pengguna dari direktori IAM Identity Center untuk nama pengguna yang dikenal dengan terlebih dahulu meminta yang sesuai `userId` menggunakan permintaan [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html)API, lalu mengeluarkan permintaan [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)API, seperti yang ditunjukkan pada contoh sebelumnya. Contoh berikut menunjukkan bagaimana Anda dapat mengambil `userId` dari Identity Store untuk nama pengguna tertentu. Anda dapat menghilangkan `region` parameter jika instance IAM Identity Center Anda berada di Region default dengan CLI.
```
aws identitystore get-user-id \
--identity-store d-9876543210 \
--alternate-identifier '{
"UniqueAttribute": {
"AttributePath": "username",
"AttributeValue": "anyuser@example.com"
}
}' \
--region your-region-id
```
Demikian pula, Anda dapat menggunakan mekanisme yang sama ketika Anda mengetahui`externalId`. Perbarui jalur atribut pada contoh sebelumnya dengan `externalId` nilai, dan nilai atribut dengan spesifik `externalId` yang Anda cari.
## Melihat Secure Identifier (SID) pengguna di Microsoft Active Directory (AD) dan ExternalLid
Dalam kasus tertentu, IAM Identity Center memancarkan SID pengguna di `principalId` bidang CloudTrail peristiwa, seperti yang dipancarkan portal AWS akses dan APIs OIDC. **Kasus-kasus ini sedang dihapus.** Sebaiknya alur kerja Anda menggunakan atribut AD `objectguid` saat Anda memerlukan pengenal pengguna unik dari AD. Anda dapat menemukan nilai ini di `externalId` atribut di direktori IAM Identity Center. Namun, jika alur kerja Anda memerlukan penggunaan SID, ambil nilainya dari AD karena tidak tersedia melalui IAM Identity Center. APIs
[Mengkorelasikan peristiwa pengguna dalam sesi pengguna yang samaMenghubungkan pengguna antara IAM Identity Center dan direktori eksternal](#correlating-users)menjelaskan bagaimana Anda dapat menggunakan `username` bidang `externalId` dan untuk menghubungkan pengguna Pusat Identitas IAM dengan pengguna yang cocok di direktori eksternal. Secara default, IAM Identity Center memetakan `externalId` ke `objectguid` atribut di AD, dan pemetaan ini diperbaiki. IAM Identity Center memungkinkan administrator fleksibilitas untuk memetakan `username` secara berbeda dari pemetaan defaultnya ke `userprincipalname` AD.
Anda dapat melihat pemetaan ini di konsol Pusat Identitas IAM. Arahkan ke tab **Sumber Identitas** **Pengaturan**, dan pilih **Kelola sinkronisasi** di menu **Tindakan**. Di bagian **Kelola Sinkronisasi**, pilih tombol **Lihat pemetaan atribut**.
Meskipun Anda dapat menggunakan pengenal pengguna AD unik apa pun yang tersedia di Pusat Identitas IAM untuk mencari pengguna di AD, sebaiknya gunakan dalam kueri Anda karena ini `objectguid` adalah pengenal yang tidak dapat diubah. Contoh berikut menunjukkan cara kueri Microsoft AD dengan Powershell untuk mengambil pengguna menggunakan `objectguid` nilai pengguna. `16809ecc-7225-4c20-ad98-30094aefdbca` Respons yang berhasil untuk kueri ini termasuk SID pengguna.
```
Install-WindowsFeature -Name RSAT-AD-PowerShell
Get-ADUser `
-Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} `
-Properties *
```