AWS アカウント の認証情報レポートの取得 - AWS Identity and Access Management
必要なアクセス許可レポートフォーマットの理解認証情報レポートの取得 (コンソール)認証情報レポートの取得 (AWS CLI)認証情報レポートの取得 (AWS API)

AWS アカウント の認証情報レポートの取得

アカウントのすべてのユーザーと、ユーザーの各種認証情報 (パスワード、アクセスキー、MFA デバイスなど) のステータスが示された認証情報レポートを生成し、ダウンロードできます。認証情報レポートは、AWS Management Console、AWS SDKコマンドラインツール、または IAM API から取得できます。

認証情報レポートを使用して、監査やコンプライアンスの作業を支援することができます。このレポートを使用して、パスワードやアクセスキーの更新など、認証情報ライフサイクルの要件の効果を監査できます。外部の監査人にこのレポートを提供することも、監査人が直接このレポートをダウンロードできるようにアクセス権限を付与することもできます。

認証情報レポートは、4 時間ごとに 1 回生成できます。レポートをリクエストすると、IAM はまず AWS アカウント について過去 4 時間以内にレポートが生成されたかどうかを確認します。レポートが生成されている場合は、最新のレポートがダウンロードされます。アカウントの最新のレポートが 4 時間以上前のものであるか、アカウントに以前のレポートがない場合、IAM は新しいレポートを生成してダウンロードします。

必要なアクセス許可

レポートを作成してダウンロードするには、以下のアクセス許可が必要です。

  • 認証情報レポートを作成生成するには: iam:GenerateCredentialReport

  • レポートをダウンロードするには: iam:GetCredentialReport

レポートフォーマットの理解

認証情報レポートは、カンマ区切り値(CSV)ファイルとしてフォーマットされます。CSV ファイルを一般的なスプレッドシートソフトウェアで開いて分析を実行できます。また、CSV ファイルをプログラム的に利用するアプリケーションを作成して、カスタム分析を実行することもできます。

CSV ファイルには、次の列が含まれます。

user

ユーザーのわかりやすい名前。

arn

ユーザーの Amazon リソースネーム(ARN)。ARN の詳細については、IAM ARNを参照してください。

user_creation_time

ユーザーが作成された日時 (ISO 8601 日付/時刻形式)。

password_enabled

ユーザーがパスワードを持っている場合、この値は TRUE です。それ以外の場合は FALSE です。AWS アカウントのルートユーザー の値は常に not_supported です。

password_last_used

AWS アカウントのルートユーザー またはユーザーのパスワードを使用して最後に AWS ウェブサイトにサインインした日時「(ISO 8601 日付/時刻形式)」。AWS ユーザーの最終サインイン時刻をキャプチャするウェブサイトには、AWS Management Console、AWS ディスカッションフォーラム、および AWS Marketplace があります。5 分以内にパスワードが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

  • 次のような場合、このフィールドの値は no_information になります。

    • ユーザーのパスワードが使用されたことがない場合。

    • IAM が 2014 年 10 月 20 日にこの情報の追跡を開始してから、ユーザーのパスワードが使用されていないなど、パスワードに関連付けられたサインインデータがない場合。

  • ユーザーがパスワードを所有していない場合、このフィールドの値は N/A (該当なし) です。

重要

サービス上の問題により、前回使用したパスワードに関するデータには、2018 年 5 月 3 日 22 時 50 分 (太平洋夏時間) から 2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) までのパスワードの使用は含まれません。これは、IAM コンソールに表示される前回サインインした日付および IAM 認証情報レポートでパスワードを前回使用した日付として GetUser API オペレーションから返される日付に影響を与えます。該当する期間中にユーザーがサインインした場合、パスワードを前回使用した日付として返される日付は、2018 年 5 月 3 日より前にユーザーが最後にサインインした日付になります。2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) より後にサインインしたユーザーの場合、パスワードを前回使用した日付として返される日付は正確です。

前回使用したパスワードに関する情報を使用して未使用の認証情報を特定して削除する (例: 過去 90 日間に AWS にサインインしなかったユーザーを削除する) 場合は、2018 年 5 月 23 日より後の日付を含めるように評価ウィンドウを調整してください。または、ユーザーがアクセスキーを使用して AWS にプログラムでアクセスする場合は、前回使用したアクセスキーの情報を参照できます。これはすべての日付について正確であるためです。

password_last_changed

ユーザーのパスワードが最後に設定された日時 (ISO 8601 日付/時刻形式)。ユーザーがパスワードを所有していない場合、このフィールドの値は N/A (該当なし) です。AWS アカウント (ルート) の値は常に not_supported です。

password_next_rotation

アカウントにパスワードの更新を必要とするパスワードポリシーがある場合、このフィールドには、新しいパスワードを設定するようユーザーに求める日時 (ISO 8601 日付/時刻形式) が保存されます。AWS アカウント (ルート) の値は常に not_supported です。

mfa_active

ユーザーに対して多要素認証 (MFA) デバイスが有効になっていた場合、この値は TRUE です。それ以外の場合は、FALSE です。

access_key_1_active

ユーザーがアクセスキーを所有し、そのアクセスキーのステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

access_key_1_last_rotated

ユーザーのアクセスキーが作成または最後に変更された日時 (ISO 8601 日付/時刻形式)。ユーザーがアクティブなアクセスキーを所有していない場合、このフィールドの値は N/A (該当なし) です。

access_key_1_last_used_date

AWS API リクエストの署名にユーザーのアクセスキーが直近に使用されたときの ISO 8601 日付/時刻形式の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A (該当なし) になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • IAM が 2015 年 4 月 22 日にこの情報の追跡を開始してから、アクセスキーが使用されていない場合。

access_key_1_last_used_region

アクセスキーが直近に使用された AWS リージョン。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A (該当なし) になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

  • 最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。

access_key_1_last_used_service

アクセスキーを使用して最近アクセスされた AWS サービス。このフィールドの値として、サービスのs3名前空間 (Amazon S3 の 、Amazon EC2 の ec2 など) が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A (該当なし) になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

access_key_2_active

ユーザーが 2 つ目のアクセスキーを所有し、その 2 つ目のキーのステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

注記

ユーザーはアクセスキーを 2 つまで持つことができ、最初にキーを更新してから前のキーを削除すると、ローテーションが簡単になります。アクセスキーの更新の詳細については、「アクセスキーの更新」を参照してください。

access_key_2_last_rotated

ユーザーの 2 つ目のアクセスキーが作成された、または最後に更新された日時 (ISO 8601 日付/時刻形式)。ユーザーが 2 つ目のアクティブなアクセスキーを所有していない場合、このフィールドの値は N/A (該当なし) です。

access_key_2_last_used_date

AWS API リクエストの署名にユーザーの 2 つ目のアクセスキーが直近に使用されたときの ISO 8601 日付/時刻形式の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A (該当なし) になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

access_key_2_last_used_region

ユーザーの 2 つ目のアクセスキーが直近に使用された AWS リージョン。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。次のような場合、このフィールドの値は N/A (該当なし) になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

  • 最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。

access_key_2_last_used_service

ユーザーの 2 つ目のアクセスキーを使用して最近アクセスされた AWS サービス。このフィールドの値として、サービスのs3名前空間 (Amazon S3 の 、Amazon EC2 の ec2 など) が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。次のような場合、このフィールドの値は N/A (該当なし) になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

cert_1_active

ユーザーが X.509 署名証明書を所有し、その証明書のステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

cert_1_last_rotated

ユーザーの署名証明書が作成または最後に変更された日時 (ISO 8601 日付/時刻形式)。ユーザーがアクティブな署名証明書を所有していない場合、このフィールドの値は N/A (該当なし) です。

cert_2_active

ユーザーが 2 つ目の X.509 署名証明書を所有し、その証明書のステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

注記

証明書のローテーションを容易にするために、ユーザーは最大で 2 個の X.509 署名証明書を持つことができます。

cert_2_last_rotated

ユーザーの 2 つ目の署名証明書が作成または最後に変更された日時 (ISO 8601 日付/時刻形式)。ユーザーが 2 つ目のアクティブな署名証明書を所有していない場合、このフィールドの値は N/A (該当なし) です。

認証情報レポートの取得 (コンソール)

AWS Management Consoleを使用して、認証情報レポートをカンマ区切り値 (CSV) ファイルとしてダウンロードできます。

認証情報レポートをダウンロードするには (コンソール)

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[認証情報レポート] を選択します。

  3. [レポートをダウンロード] を選択します。

認証情報レポートの取得 (AWS CLI)

認証情報レポートをダウンロードするには (AWS CLI)

  1. 認証情報レポートを生成します。AWS には、単一のレポートが格納されます。レポートが存在する場合、認証情報レポートを生成すると、以前のレポートが上書きされます。aws iam generate-credential-report

  2. 最後に生成されたレポートを表示します: aws iam get-credential-report

認証情報レポートの取得 (AWS API)

認証情報レポートをダウンロードするには (AWS API)

  1. 認証情報レポートを生成します。AWS には、単一のレポートが格納されます。レポートが存在する場合、認証情報レポートを生成すると、以前のレポートが上書きされます。GenerateCredentialReport

  2. 最後に生成されたレポートを表示します: GetCredentialReport