2026-01
有关AWS IAM身份中心的CloudTrail事件的重要更改 安全博客
AWS IAM 身份中心 CloudTrail 事件的重要变更
关键概要
即将于2025年7月14日实施重要变更,以简化AWS IAM身份中心的CloudTrail事件。这些变更旨在提升用户身份识别,简化与外部目录服务的关联,同时不会影响其他AWS服务的CloudTrail事件。所有受影响的用户和工作流需进行更新,以适应即将到来的变化。
梯子免费版根据客户反馈,我们对即将生效的CloudTrail事件进行了更新,原定于2025年1月13日生效的变更现已延后至2025年7月14日,并且明确这些变更仅适用于IAM身份中心的CloudTrail事件。
我们正在简化AWS CloudTrail事件,以便AWS IAM身份中心保留仅需的字段,以便于审计和事件响应等工作流。这些更改旨在改善CloudTrail事件中用户的识别,回应客户反馈,同时增强IAM身份中心目录与如Okta通用目录或Microsoft Active Directory等外部目录服务之间的关联。重要的是,这些变更不会影响其他AWS服务的CloudTrail事件。
自2025年7月14日起,IAM身份中心将停止在CloudTrail事件的user identity元素下发出userName和principalId字段。登录IAM身份中心、使用AWS访问门户和通过AWS CLI访问AWS账户时,这些字段将不再包含在CloudTrail事件中。取而代之的是,IAM身份中心现在将发出用户ID和身份存储ARN字段,以替代userName和principalId字段,从而简化用户识别过程。IAM身份中心CloudTrail事件还将标识IdentityCenterUser作为identity类型,而非Unknown,从而提供清晰的用户标识。此外,当创建或更新组时,IAM身份中心将省略CloudTrail事件中的组displayName值。通过使用身份存储DescribeGroup API操作,授权工作流仍然可以访问组属性,如displayName。
我们建议您在这些更改于2025年7月14日生效之前,更新处理CloudTrail事件中userName、principalId、userIdentity类型或组displayName字段的工作流。本文提供了这些更新的指导。
如何为IAM身份中心CloudTrail中即将进行的用户识别变更准备工作流
为了简化用户识别,IAM身份中心正在对其CloudTrail事件的user identity元素进行更改。根据这些更改,您可以更新工作流,以将CloudTrail事件与特定用户链接,关联用户与外部目录,并跟踪同一会话内的用户活动。以下是更新后的CloudTrail事件用户身份元素示例。
IAM身份中心将更新在用户登录、使用AWS访问门户和通过AWS CLI访问AWS账户时发出的CloudTrail事件的userIdentity类型。对于经过身份验证的用户,userIdentity类型将变更为IdentityCenterUser,而未经过身份验证的用户则仍为Unknown。我们建议您更新工作流以接受这两种值。
为了识别与CloudTrail事件关联的用户,IAM身份中心现提取userId和identityStoreArn字段,以替代userName和principalId字段。userId是IAM身份中心赋予每个用户的一个唯一且不可变的用户标识符,存储在身份存储中,其身份存储ARN由identityStoreArn引用。这些新字段提升了用户识别及行为追踪的能力,并在userIdentity类型为IdentityCenterUser的CloudTrail条目中存在。有关新的用户身份元素和describeuser CLI命令的示例,请参见在IAM身份中心用户发起的CloudTrail事件中识别用户和会话部分。
您可以使用describeuser CLI命令提取与身份存储中用户关联的外部ID。外部ID用于将身份存储用户与其外部目录关联,该外部ID将用户映射到其外部目录中的不可变用户标识符,例如Microsoft Active Directory或Okta通用目录。
注意:IAM身份中心不在CloudTrail中发出外部ID。您需要访问身份存储,以根据CloudTrail中的userId和identityStoreArn字段检索外部ID。
如果您可以访问CloudTrail事件但无法访问身份存储,您可以使用在additionalEventData元素中发出的UserName字段将用户与其外部目录关联。此字段代表用户在登录IAM身份中心时所用的身份验证或联合用户名。更多详细信息,请参见在IAM身份中心和外部目录之间关联用户部分。
注意:
当身份来源为AWS目录服务时,CloudTrail记录的UserName值等于用户在身份验证时输入的用户名。例如,用户具有用户名anyuser@companycom,输入的值将相应地输出为anyuser、anyuser@companycom或companycomanyuser。对于因用户名输入错误而导致的登录失败,IAM身份中心在CloudTrail事件中将UserName字段输出为固定文本HIDDENDUETOSECURITYREASONS,因为在这种情况下用户输入的用户名可能包含敏感信息,如用户密码。为了追踪同一会话内的用户活动,IAM身份中心现在在CloudTrail事件中发出credentialId字段,适用于AWS访问门户中的用户行为或使用AWS CLI的场景。credentialId字段包含用户的AWS访问门户会话ID,以帮助您跟踪用户在会话期间的行为。
以下表格展示了一个CloudTrail事件示例,突出说明了将于2025年7月14日更改的字段。IAM身份中心最近开始在其CloudTrail事件中发出userId、identityStoreArn、credentialId和UserName在additional event data中。因此,这个示例将它们视为现有字段。
即将到来的更改之前
jsoneventName CredentialChallengeeventSource signinamazonawscomuserIdentity { type Unknown userName anyuser accountId 123456789012 principalId 123456789012 onBehalfOf { userId a111111111111111a1111aa111aa11 identityStoreArn arnawsidentitystore111111111identitystore/d111111a1a } credentialId 1111a111111111a1a11111a1a[]}additionalEventData { CredentialType PASSWORD UserName anyuser}
即将到来的更改之后
jsoneventName CredentialChallengeeventSource signinamazonawscomuserIdentity { type IdentityCenterUser accountId 123456789012 onBehalfOf { userId a111111111111111a1111aa111aa11 identityStoreArn arnawsidentitystore111111111identitystore/d111111a1a } credentialId 1111a111111111a1a11111a1a[]}additionalEventData { CredentialType PASSWORD UserName anyuser}
如何为IAM身份中心CloudTrail中的组管理事件的即将变更进行准备
依赖于获取组属性例如displayName的工作流可以使用身份存储DescribeGroup API操作来检索这些属性。从2025年7月14日起,IAM身份中心将在管理CloudTrail事件中将CreateGroup和UpdateGroup的displayName值替换为固定文本HIDDENDUETOSECURITYREASONS。此更新仅授权访问身份存储中的组属性。
以下表格展示了一个CloudTrail事件示例,突出展示了即将更改的displayName字段。
即将到来的更改之前
jsoneventName CreateGroupeventSource ssodirectoryamazonawscomuserIdentity { type AssumedRole userName GroupManagerRole accountId 123456789012 principalId 123456789012}group { groupId 11a1a11111111010aaa101111a1111a0 displayName PowerUserGroup groupAttributes { description { stringValue HIDDENDUETOSECURITYREASONS } }}
即将到来的更改之后
jsoneventName CreateGroupeventSource ssodirectoryamazonawscomuserIdentity { type AssumedRole userName GroupManagerRole accountId 123456789012 principalId 123456789012}group { groupId 11a1a11111111010aaa101111a1111a0 displayName HIDDENDUETOSECURITYREASONS groupAttributes { description { stringValue HIDDENDUETOSECURITYREASONS } }}
深入了解受变更影响的CloudTrail事件
在本帖初期,我们提到IAM身份中心会在用户登录IAM身份中心、使用AWS访问门户,以及通过AWS CLI访问AWS账户或管理员创建和更新组时发出相应的CloudTrail事件。这些CloudTrail事件属于四个事件组,IAM身份中心用户指南(IAM Identity Center User Guide)称其为AWS访问门户、OIDC、登录和身份存储事件。以下列表提供了有关导致这些CloudTrail事件发出的用例的更多细节:
AWS访问门户事件包括AWS访问门户的登录和注销,以及获取用户的账户和应用程序分配,这些是显示门户所必需的。IAM身份中心还在配置AWS CLI (AWS CLI Commands)或IDE工具包以便IAM身份中心用户访问AWS账户时发出这些事件。相关的开放ID连接 (OIDC) 事件为CreateToken。IAM身份中心在为经过身份验证的用户启动会话时发出此事件例如,访问通过AWS CLI或IDE工具包分配的AWS账户。登录事件包括基于密码的身份验证和联合身份验证,以及多因素身份验证 (MFA)。相关的身份存储事件包括用户在AWS访问门户内管理MFA设备及两项管理性身份存储事件:CreateGroup和UpdateGroup。需要注意的是,与范围内的CloudTrail事件相关的一些API操作也作为AWS CLI命令提供:
Portal命令OIDC命令身份存储命令这个部分中的两个表格提供了有关更改以及与CloudTrail事件的关系的详细记录。
以下表格列出了IAM身份中心发出的字段变更和相关CloudTrail事件。
变更 AWS访问门户使用门户 OIDC通过AWS CLI和IDE工具包登录IAM身份中心 登录身份验证,包括MFA和联合身份验证 身份存储MFA设备和组管理自2025年7月14日起可用排除经过身份验证用户的userName字段 是 是,限制于CreateToken事件 是 是,限制于AWS访问门户中的MFA管理排除userIdentity元素中的principalId字段 是 是,限制于CreateToken事件 是 是,限制于AWS访问门户中的MFA管理userIdentity类型值从Unknown更改为IdentityCenterUser 是 是,限制于CreateToken事件 是,限制于成功身份验证 是,限制于AWS访问门户中的MFA管理从请求参数和响应元素中排除组displayName值 否 否 否 是,限制于管理CreateGroup和UpdateGroup事件仅限失效身份验证尝试中userName字段的排除出现在additionalEventData元素中 否 否 是,限制于CredentialChallenge事件 否自2024年10月起可用在userIdentity元素中添加onBehalfOf元素,以及userId和identityStoreArn以及credentialId 是 是,限制于CreateToken事件 是,限制于身份存储中存在用户名的身份验证尝试 是,限制于AWS访问门户中的MFA管理在additionalEventData元素中加入UserName字段 否 否 是,限制于CredentialChallenge和UserAuthentication事件在特定情况下 否
以下表格总结了相关的IAM身份中心CloudTrail事件组、事件源和事件名称。
事件组源事件名称AWS访问门户ssoamazonawscomAuthenticateFederateListAccountRolesListAccountsListApplicationsListProfilesForApplicationGetRoleCredentialsLogoutOIDCssoamazonawscomCreateToken登录signinamazonawscomCredentialChallengeCredentialVerificationUserAuthentication身份存储ssodirectoryamazonawscom或identitystoreamazonawscomListMfaDevicesForUserDeleteMfaDeviceForUserUpdateMfaDeviceForUserStartWebAuthnDeviceRegistrationStartVirtualMfaDeviceRegistrationCompleteWebAuthnDeviceRegistrationCompleteVirtualMfaDeviceRegistrationCreateGroupUpdateGroup
结论
在本文中,我们回顾了IAM身份中心发出的CloudTrail事件
