メニュー
AWS Identity and Access Management
ユーザーガイド

使用していない認証情報の検索

ユーザーが組織を離れるとき、またはサービスをもう使用していない場合には、使用されていた認証情報を検索し、それらが無効になっていることを確認することが重要です。必要のなくなった認証情報は削除することが理想的です。それらは必要に応じて、後日いつでも再作成できます。少なくとも、前のユーザーがアクセスできないように、認証情報を変更する必要があります。

もちろん、「使用していない」の定義は異なる可能性がありますが、通常は特定の期間内に使用されなかった認証情報を指します。

使用していないパスワードの検索

AWS マネジメントコンソール を使用すると、各ユーザーが前回コンソールパスワードをいつ使用したかに関する情報を含む認証情報レポートをダウンロードできます。また、AWS CLI、Tools for Windows PowerShell、または IAM API から情報にアクセスすることも可能です。

IAM コンソールで認証情報レポートをダウンロードして、使用していないパスワードを検索するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで、[Credential report] を選択します。

  3. [Download Report] を選択して、status_reports_<date>T<time>.csv という名前のカンマ区切り値 (CSV) ファイルをダウンロードします。5 番目の列には、日付または以下のいずれか 1 つを含む password_last_used 列が表示されます。

    • N/A – 割り当てられているパスワードが 1 つもないユーザー。

    • no_information – IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降、パスワードを使用したことのないユーザー。

AWS CLI、Tools for Windows PowerShell、および IAM API から使用していないパスワードを検索するには

以下のコマンドを使用して、未使用のパスワードを検索できます。

  • AWS CLI: aws iam list-users は、ユーザーのリストを PasswordLastUsed 値で返します。値がない場合は、ユーザーがパスワードを持っていないか、IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降にパスワードが使用されていないことを示します。

  • Tools for Windows PowerShell: Get-IAMUsers はそれぞれが PasswordLastUsed User プロパティを持つ、オブジェクトのコレクションを返します。プロパティ値が 1/1/0001 12:00:00 AM の場合、ユーザーがパスワードを持っていないか、IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降にパスワードが使用されていないことを示します。

  • IAM API: ListUsers はそれぞれが <PasswordLastUsed> 値を持つ、ユーザーのコレクションを返します。 値がない場合は、ユーザーがパスワードを持っていないか、IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降にパスワードが使用されていないことを示します。

    認証情報レポートをダウンロードするためのコマンドについては、「認証情報レポートの取得(AWS CLI、Tools for Windows PowerShell、または IAM API)」を参照してください。

使用していないアクセスキーの検索

AWS マネジメントコンソール を使用すると認証情報レポートをダウンロードし、各ユーザーが前回アクセスキーをいつ使用したかを調べることができます。また、AWS CLI、Tools for Windows PowerShell、または IAM API から情報にアクセスすることも可能です。

IAM コンソールで認証情報レポートをダウンロードして、使用していないアクセスキーを検索するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで、[Credential Report] を選択します。

  3. [Download Report] を選択して、status_reports_<date>T<time>.csv という名前のカンマ区切り値 (CSV) ファイルをダウンロードします。列 11 ~ 13 にはアクセスキー 1 を最後に使用した日付、アクセスキーのリージョン、およびサービス情報が含まれ、列 16 ~ 18 にはアクセスキー 2 の同様の情報が含まれます。ユーザーがアクセスキーを持っていないか、IAM がアクセスキーの古さの追跡を開始した 2015 年 4 月 22 日以降にアクセスキーが使用されていない場合、値 [N/A] が表示されます。

AWS CLI、Tools for Windows PowerShell、および IAM API から使用していないアクセスキーを検索するには

以下のコマンドを使用して、未使用のアクセスキーを検索できます。

  • AWS CLI:

    • aws iam list-access-keysAccessKeyID を含む、ユーザーのアクセスキーに関する情報を返します。

    • aws iam get-access-key-last-used はアクセスキー ID を使用して、LastUsedDate、アクセスキーを最後に使用した Region、最後に要求されたサービスの ServiceName を含む出力を返します。LastUsedDate フィールドがない場合、IAM がアクセスキーの古さの追跡を開始した 2015 年 4 月 22 日以降にアクセスキーが使用されていないことを示します。

  • Tools for Windows PowerShell:

    • Get-IAMAccessKey は指定のユーザーに関連付けられたアクセスキーオブジェクトのコレクションを返します。各オブジェクトには AccessKeyId プロパティがあります。

    • Get-IAMAccessKeyLastUsed はアクセスキー ID を使用して、AccessKeyLastUsed プロパティオブジェクトを持つオブジェクトを返します。このオブジェクトのメソッドには、LastUsedDate、アクセスキーを最後に使用した Region、最後に要求されたサービスの ServiceName が含まれます。プロパティ値が 1/1/0001 12:00:00 AM の場合、IAM がアクセスキーの古さの追跡を開始した 2015 年 4 月 22 日以降にアクセスキーが使用されていないことを示します。

  • IAM API:

    • ListAccessKeys は指定したユーザーに関連付けられたアクセスキーの AccessKeyID 値のリストを返します。

    • GetAccessKeyLastUsed はアクセスキー ID を使用して、値のコレクションを返します。これには、LastUsedDate、アクセスキーを最後に使用した Region、最後に要求されたサービスの ServiceName が含まれています。値がない場合、ユーザーがアクセスキーを持っていないか、IAM がアクセスキーの古さの追跡を開始した 2014 年 10 月 20 日以降にアクセスキーが使用されていないことを示します。

    認証情報レポートをダウンロードするためのコマンドについては、「認証情報レポートの取得(AWS CLI、Tools for Windows PowerShell、または IAM API)」を参照してください。