メニュー
AWS Identity and Access Management
ユーザーガイド

使用していない認証情報の検索

AWS アカウントのセキュリティを高めるには、不要な IAM ユーザー認証 (パスワードおよびアクセスキー) を削除します。たとえば、ユーザーが組織を離れる際、または今後 AWS へのアクセスが不要な場合には、使用されていた認証情報を検索し、それらが無効になっていることを確認する必要があります。必要のなくなった認証情報は削除することが理想的です。それらは必要に応じて、後日いつでも再作成できます。前のユーザーがアクセスできないように、必ずパスワードを変更するか、またはアクセスキーを無効にします。

もちろん、使用していないの定義は異なる可能性がありますが、通常は特定の期間内に使用されなかった認証情報を指します。

使用していないパスワードの検索

AWS マネジメントコンソール を使用して、ユーザーのパスワード使用状況情報を表示できます。多数のユーザーがいる場合は、コンソールを使用して、ユーザーごとのコンソールパスワードの最終使用日時に関する情報を含む認証情報レポートをダウンロードできます。また、AWS CLI、Tools for Windows PowerShell、または IAM API から情報にアクセスすることも可能です。

未使用のパスワードを検索するには (コンソール)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users] を選択します。

  3. 必要に応じて、[Console last sign-in] 列を USERS テーブルに追加します。

    1. 右端のテーブルの上で、設定アイコン (  設定アイコン ) を選択します。

    2. [Manage Columns] で、[Console last sign-in] を選択します。

    3. [Close] を選択して、ユーザーのリストに戻ります。

  4. [Console last sign-in] 列に、ユーザーがコンソールから AWS に最後にサインインしてから経過した日数が表示されます。この情報を使用して、特定の期間以上サインインしていないユーザーとパスワードを検索できます。この列には、一度もサインインしていないユーザーとパスワードに、[Never] と表示されます。[None] は、パスワードが設定されていないユーザーを表します。最近使用されていないパスワードは削除の対象となります。

コンソールで認証情報レポートをダウンロードして、使用されていないパスワードを検索するには (コンソール)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで、[Credential report] を選択します。

  3. [Download Report] を選択して、status_reports_<date>T<time>.csv という名前のカンマ区切り値 (CSV) のファイルをダウンロードします。5 番目の列には、日付または以下のいずれか 1 つを含む password_last_used 列が表示されます。

    • N/A – 割り当てられているパスワードが 1 つもないユーザー。

    • no_information – IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降、パスワードを使用したことのないユーザー。

使用されていないパスワードを検索するには (API、CLI、PowerShell)

以下のコマンドを使用して、未使用のパスワードを検索できます。

  • AWS CLI – 「aws iam list-users」は、それぞれが PasswordLastUsed 値を持つユーザーのリストを返します。値がない場合は、ユーザーがパスワードを持っていないか、IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降にパスワードが使用されていないことを示します。

     

  • Tools for Windows PowerShell – 「Get-IAMUsers」は、それぞれが PasswordLastUsed プロパティを持つ、User オブジェクトのコレクションを返します。プロパティ値が 1/1/0001 12:00:00 AM の場合、ユーザーがパスワードを持っていないか、IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降にパスワードが使用されていないことを示します。

     

  • IAM API ListUsers はそれぞれが <PasswordLastUsed> 値を持つ、ユーザーのコレクションを返します。 値がない場合は、ユーザーがパスワードを持っていないか、IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降にパスワードが使用されていないことを示します。

    認証情報レポートをダウンロードするためのコマンドについては、「認証情報レポートの取得(AWS CLI、Tools for Windows PowerShell、または IAM API)」を参照してください。

使用していないアクセスキーの検索

AWS マネジメントコンソール を使用して、ユーザーのアクセスキーの使用状況に関する情報を表示できます。多数のユーザーがいる場合は、コンソールを使用して認証情報レポートをダウンロードし、ユーザーごとのアクセスキーの最終使用日時を検索できます。また、AWS CLI、Tools for Windows PowerShell、または IAM API から情報にアクセスすることも可能です。

使用していないアクセスキーを検索するには (コンソール)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users] を選択します。

  3. 必要に応じて、[Access key last used] 列をユーザーテーブルに追加します。

    1. 右端のテーブルの上で、設定アイコン (  設定アイコン ) を選択します。

    2. [Manage Columns] で、[Access key last used] を選択します。

    3. [Close] を選択して、ユーザーのリストに戻ります。

  4. [Access key last used] 列には、ユーザーがプログラムで最後に AWS にアクセスしてから経過した日数が表示されます。この情報を使用して、指定の期間以上使用されていないアクセスキーを持つユーザーを検索できます。この列のアクセスキーのないユーザーに、[None] と表示されます。最近使用されていないアクセスキーは削除の対象となります。

認証情報レポートをダウンロードして、使用していないアクセスキーを検索するには (コンソール)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで、[Credential Report] を選択します。

  3. [Download Report] を選択して、status_reports_<date>T<time>.csv という名前のカンマ区切り値 (CSV) のファイルをダウンロードします。列 11 ~ 13 にはアクセスキー 1 を最後に使用した日付、アクセスキーのリージョン、およびサービス情報が含まれます。列 16 ~ 18 にはアクセスキー 2 の同様の情報が含まれます。ユーザーがアクセスキーを持っていないか、IAM がアクセスキーの古さの追跡を開始した 2015 年 4 月 22 日以降にアクセスキーが使用されていない場合、値 [N/A] が表示されます。

使用していないアクセスキーを検索するには (API、CLI、PowerShell)

以下のコマンドを使用して、未使用のアクセスキーを検索できます。

AWS CLI
  • aws iam list-access-keysAccessKeyID を含む、ユーザーのアクセスキーに関する情報を返します。

  • aws iam get-access-key-last-used はアクセスキー ID を使用して、LastUsedDate、アクセスキーを最後に使用した Region、最後に要求されたサービスの ServiceName を含む出力を返します。LastUsedDate フィールドがない場合、IAM がアクセスキーの古さの追跡を開始した 2015 年 4 月 22 日以降にアクセスキーが使用されていないことを示します。

     

Tools for Windows PowerShell
  • Get-IAMAccessKey は指定のユーザーに関連付けられたアクセスキーオブジェクトのコレクションを返します。各オブジェクトには AccessKeyId プロパティがあります。

  • Get-IAMAccessKeyLastUsed はアクセスキー ID を使用して、AccessKeyLastUsed プロパティオブジェクトを持つオブジェクトを返します。このオブジェクトのメソッドには、LastUsedDate、アクセスキーを最後に使用した Region、最後に要求されたサービスの ServiceName が含まれます。プロパティ値が 1/1/0001 12:00:00 AM の場合、IAM がアクセスキーの古さの追跡を開始した 2015 年 4 月 22 日以降にアクセスキーが使用されていないことを示します。

     

IAM API
  • ListAccessKeys は指定したユーザーに関連付けられたアクセスキーの AccessKeyID 値のリストを返します。

  • GetAccessKeyLastUsed はアクセスキー ID を使用して、値のコレクションを返します。これには、LastUsedDate、アクセスキーを最後に使用した Region、最後に要求されたサービスの ServiceName が含まれています。値がない場合、ユーザーがアクセスキーを持っていないか、IAM がアクセスキーの古さの追跡を開始した 2014 年 10 月 20 日以降にアクセスキーが使用されていないことを示します。

認証情報レポートをダウンロードするためのコマンドについては、「認証情報レポートの取得(AWS CLI、Tools for Windows PowerShell、または IAM API)」を参照してください。