メニュー
AWS Identity and Access Management
ユーザーガイド

AWS アカウントの認証情報レポートの取得

アカウント内のすべてのユーザーと、ユーザーの各種認証情報 (パスワード、アクセスキー、MFA デバイスなど) のステータスが示された認証情報レポートを生成し、ダウンロードできます。認証情報レポートは、AWS マネジメントコンソール、AWS SDKコマンドラインツール、または IAM API から取得できます。

認証情報レポートを使用して、監査やコンプライアンスの作業を支援することができます。このレポートを使用して、パスワードやアクセスキーのローテーションなど、認証情報ライフサイクルの要件の結果を監査できます。外部の監査人にこのレポートを提供することも、監査人が直接このレポートをダウンロードできるようにアクセス権限を付与することもできます。

認証情報レポートは、4 時間ごとに 1 回生成できます。レポートをリクエストすると、IAM はまず AWS アカウントについて過去 4 時間以内にレポートが生成されたかどうかを確認します。レポートが生成されている場合は、最新のレポートがダウンロードされます。アカウントの最新のレポートが 4 時間以上前のものである場合や、そのアカウントに関する以前のレポートがない場合は、IAM によって新しいレポートが生成され、ダウンロードされます。

必要なアクセス許可

  • 認証情報レポートを作成生成するには: GenerateCredentialReport

  • レポートをダウンロードするには: GetCredentialReport

レポートフォーマットの理解

認証情報レポートは、カンマ区切り値(CSV)ファイルとしてフォーマットされます。CSV ファイルを一般的なスプレッドシートソフトウェアで開いて分析を実行できます。また、CSV ファイルをプログラム的に利用するアプリケーションを作成して、カスタム分析を実行することもできます。

CSV ファイルには、次の列が含まれます。

ユーザー

ユーザーのわかりやすい名前。

arn

ユーザーの Amazon リソースネーム(ARN)。ARN の詳細については、IAM ARNを参照してください。

user_creation_time

ユーザーが作成された日時(ISO 8601 日付/時刻形式)。

password_enabled

ユーザーがパスワードを持っている場合、この値は TRUE です。それ以外の場合は、FALSE です。AWS アカウントのルートユーザーの値は常に not_supported です。

password_last_used

AWS アカウントのルートユーザー、または IAM ユーザーのパスワードを使用して最後に AWS ウェブサイトにサインインした日時 (ISO 8601 日付/時刻形式)。ユーザーの最終サインイン時刻をキャプチャする AWS ウェブサイトには、AWS マネジメントコンソール、AWS ディスカッションフォーラム、および AWS Marketplace があります。5 分以内にパスワードが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

  • 次のような場合、このフィールドの値は no_information になります。

    • ユーザーのパスワードが使用されたことがない場合。

    • IAM が 2014 年 10 月 20 日にこの情報の追跡を開始してから、ユーザーのパスワードが使用されていないなど、パスワードに関連付けられたサインインデータがない場合。

  • ユーザーがパスワードを所有していない場合、このフィールドの値は N/A(該当なし)です。

password_last_changed

ユーザーのパスワードが最後に設定された日時(ISO 8601 日付/時刻形式)。ユーザーがパスワードを所有していない場合、このフィールドの値は N/A(該当なし)です。AWS アカウント (ルート) の値は常に not_supported です。

password_next_rotation

アカウントにパスワードをローテーションを必要とするパスワードポリシーがある場合、このフィールドには、新しいパスワードを設定するようユーザーに求める日時(ISO 8601 日付/時刻形式)が格納されます。AWS アカウント (ルート) の値は常に not_supported です。

mfa_active

ユーザーに対して多要素認証(MFA)デバイスが有効になっていた場合、この値は TRUE です。それ以外の場合は、FALSE です。

access_key_1_active

ユーザーがアクセスキーを所有し、そのアクセスキーのステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

access_key_1_last_rotated

ユーザーのアクセスキーが作成または最後に変更された日時(ISO 8601 日付/時刻形式)。ユーザーがアクティブなアクセスキーを所有していない場合、このフィールドの値は N/A(該当なし)です。

access_key_1_last_used_date

AWS API リクエストの署名にユーザーのアクセスキーが最も最近使用されたときの ISO 8601 日付/時刻形式の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • IAM が 2015 年 4 月 22 日にこの情報の追跡を開始してから、アクセスキーが使用されていない場合。

access_key_1_last_used_region

アクセスキーが最も最近使用されたAWS リージョン。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

  • 最後に使用したサービスは、Amazon Simple Storage Service (Amazon S3) など、リージョン固有ではありません。

access_key_1_last_used_service

アクセスキーを使用して最も最近アクセスされた AWS サービス。このフィールドの値には、Amazon S3 では s3、Amazon Elastic Compute Cloud (Amazon EC2) では ec2 など、サービスの名前空間が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

access_key_2_active

ユーザーが 2 つ目のアクセスキーを所有し、その 2 つ目のキーのステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

注記

ローテーションを容易にするために、ユーザーは最大で 2 個のアクセスキーを持つことができます。アクセスキーのローテーションの詳細については、「アクセスキーの更新」を参照してください。

access_key_2_last_rotated

ユーザーの 2 つ目のアクセスキーが作成または最後に変更された日時(ISO 8601 日付/時刻形式)。ユーザーが 2 つ目のアクティブなアクセスキーを所有していない場合、このフィールドの値は N/A(該当なし)です。

access_key_2_last_used_date

AWS API リクエストの署名にユーザーの 2 つ目のアクセスキーが最も最近使用されたときの ISO 8601 日付/時刻形式の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

access_key_2_last_used_region

ユーザーの 2 つ目のアクセスキーが最も最近使用された AWS リージョン。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

  • 最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。

access_key_2_last_used_service

ユーザーの 2 つ目のアクセスキーを使用して最も最近アクセスされた AWS サービス。このフィールドの値には、Amazon S3 では s3、Amazon Elastic Compute Cloud (Amazon EC2) では ec2 など、サービスの名前空間が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

cert_1_active

ユーザーが X.509 署名証明書を所有し、その証明書のステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

cert_1_last_rotated

ユーザーの署名証明書が作成または最後に変更された日時(ISO 8601 日付/時刻形式)。ユーザーがアクティブな署名証明書を所有していない場合、このフィールドの値は N/A(該当なし)です。

cert_2_active

ユーザーが 2 つ目の X.509 署名証明書を所有し、その証明書のステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

注記

証明書のローテーションを容易にするために、ユーザーは最大で 2 個の X.509 署名証明書を持つことができます。

cert_2_last_rotated

ユーザーの 2 つ目の署名証明書が作成または最後に変更された日時(ISO 8601 日付/時刻形式)。ユーザーが 2 つ目のアクティブな署名証明書を所有していない場合、このフィールドの値は N/A(該当なし)です。

認証情報レポートの取得(AWS マネジメントコンソール)

AWS マネジメントコンソールを使用して、認証情報レポートをカンマ区切り値(CSV)ファイルとしてダウンロードできます。

AWS マネジメントコンソールを使用して認証情報レポートをダウンロードするには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで、[Credential report] をクリックします。

  3. [Download Report] をクリックします。

認証情報レポートの取得(AWS CLI、Tools for Windows PowerShell、または IAM API)

認証情報レポートを生成するには

以下のコマンドを使用して、認証情報レポートを作成できます。

認証情報レポートを取得するには

以下のコマンドを使用して、生成された認証情報レポートを取得できます。