AWS Identity and Access Management
ユーザーガイド

組織 のサービスの最終アクセス時間データの表示

AWS Organizations のサービスの最終アクセス時間データを表示するには、IAM コンソール、AWS CLI、または AWS API を使用します。データ、必要なアクセス許可、トラブルシューティング、およびサポートされているリージョンに関する重要な情報については、「サービスの最終アクセス時間データを使用したアクセス許可の調整」を参照してください。

AWS Organizations マスターアカウント認証情報を使用して IAM コンソールにサインインした場合、組織のエンティティに関するデータを表示できます。組織 エンティティには、組織のルート、組織単位 (OU)、およびアカウントが含まれます。また、IAM コンソールを使用して、組織のサービスコントロールポリシー (SCP) のデータを表示することもできます。IAM には、エンティティに適用される SCP によって許可されているサービスのリストが表示されます。サービスごとに、選択した 組織 エンティティまたはエンティティの子の最新のアカウントアクティビティを表示できます。

AWS CLI または AWS API をマスターアカウント認証情報とともに使用した場合、組織のすべてのエンティティまたはポリシーのデータレポートを生成できます。エンティティに関するプログラムによるレポートには、エンティティに適用される SCP によって許可されているサービスのリストが含まれます。サービスごとに、このレポートには、指定した 組織 エンティティまたはエンティティのサブツリーでのアカウントの最新のアクティビティが含まれます。

ポリシーに関するプログラムによるデータレポートを生成する場合、組織 エンティティを指定する必要があります。このレポートには、指定した SCP によって許可されているサービスのリストが含まれます。サービスごとに、このレポートには、そのポリシーによってアクセス権限が付与されているエンティティまたはエンティティの子での最新のアカウントアクティビティが含まれます。詳細については、「aws iam generate-organizations-access-report」または「GenerateOrganizationsAccessReport」を参照してください。

レポートを表示する前に、マスターアカウントの要件およびデータ、レポート期間、レポート対象のエンティティ、評価対象のポリシータイプをご確認ください。詳細については、「主要事項」を参照してください。

組織 のデータの表示 (コンソール)

IAM コンソールを使用して、ルート、OU、アカウント、またはポリシーのサービスの最終アクセス時間データを表示できます。

ルート(コンソール)のデータを表示するには

  1. 組織 マスターアカウント認証情報を使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [AWS Organizations] を展開して、[Organization activity (組織アクティビティ)] を選択します。

  3. [Organization activity (組織アクティビティ)] ページで、[ルート] を選択します。

  4. [Details and activity (詳細およびアクティビティ)] タブで、[Service access report (サービスアクセスレポート)] セクションを表示します。データには、ルートに直接アタッチされているポリシーによって許可されているサービスのリストが含まれます。このデータは、サービスに最後にアクセスしたアカウントとその時間が示されます。サービスにアクセスしたプリンシパルの詳細については、そのアカウントの管理者としてサインインし、IAM サービスの最終アクセス時間データを表示します。

  5. [Attached SCPs (アタッチされた SCP)] タブを選択し、ルートにアタッチされているサービスコントロールポリシー (SCP) のリストを表示します。 IAM に、各ポリシーがアタッチされているターゲットエンティティの数が示されます。この情報を使用して確認する SCP を決定します。

  6. SCP の名前を選択し、ポリシーで許可されているすべてのサービスを表示します。サービスごとに、サービスに最後にアクセスしたアカウントとその時間を表示します。

  7. [Edit in AWS Organizations (AWS Organizations での編集)] を選択して、追加の詳細を標示し、組織 コンソールで SCP を編集します。詳細については、AWS Organizations ユーザーガイドの「SCP の更新」を参照してください。

OU またはアカウントのデータを表示するには (コンソール)

  1. 組織 マスターアカウント認証情報を使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [AWS Organizations] を展開して、[Organization activity (組織アクティビティ)] を選択します。

  3. [Organization activity (組織アクティビティ)] ページで、組織の構造を展開します。マスターアカウントを除き、表示する OU またはアカウントの名前を選択します。

  4. [Details and activity (詳細およびアクティビティ)] タブで、[Service access report (サービスアクセスレポート)] セクションを表示します。データには、OU またはアカウント そのすべての親ににアタッチされている SCP によって許可されているサービスのリストが含まれます。このデータは、サービスに最後にアクセスしたアカウントとその時間が示されます。サービスにアクセスしたプリンシパルの詳細については、そのアカウントの管理者としてサインインし、IAM サービスの最終アクセス時間データを表示します。

  5. [Attached SCPs (アタッチされた SCP)] タブを選択し、OU またはアカウントに直接アタッチされているサービスコントロールポリシー (SCP) のリストを表示します。 IAM に、各ポリシーがアタッチされているターゲットエンティティの数が示されます。この情報を使用して確認する SCP を決定します。

  6. SCP の名前を選択し、ポリシーで許可されているすべてのサービスを表示します。サービスごとに、サービスに最後にアクセスしたアカウントとその時間を表示します。

  7. [Edit in AWS Organizations (AWS Organizations での編集)] を選択して、追加の詳細を標示し、組織 コンソールで SCP を編集します。詳細については、AWS Organizations ユーザーガイドの「SCP の更新」を参照してください。

マスターアカウントのデータを表示するには (コンソール)

  1. 組織 マスターアカウント認証情報を使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [AWS Organizations] を展開して、[Organization activity (組織アクティビティ)] を選択します。

  3. [Organization activity (組織アクティビティ)] ページで、組織の構造を展開してマスターアカウントの名前を選択します。

  4. [Details and activity (詳細およびアクティビティ)] タブで、[Service access report (サービスアクセスレポート)] セクションを表示します。データには、すべての AWS サービスのリストが含まれます。マスターアカウントは SCP によって制限されません。データに、アカウントがサービスに最後にアクセスしたかどうかとその時間が示されます。サービスにアクセスしたプリンシパルの詳細については、そのアカウントの管理者としてサインインし、IAM サービスの最終アクセス時間データを表示します。

  5. アカウントがマスターアカウントであるため、[Attached SCPs (アタッチされた SCP)] タブを選択して、アタッチされた SCP がないことを確認します。

ポリシーのデータを表示するには (コンソール)

  1. 組織 マスターアカウント認証情報を使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [AWS Organizations] を展開して、[Service control policies (SCPs) (サービスコントロールポリシー (SCP))] を選択します。

  3. [Service control policies (SCPs) (サービスコントロールポリシー (SCP))] ページで、組織内のポリシーのリストを表示します。 各ポリシーがアタッチされているターゲットエンティティの数を表示できます。

  4. SCP の名前を選択し、ポリシーで許可されているすべてのサービスを表示します。サービスごとに、サービスに最後にアクセスしたアカウントとその時間を表示します。

  5. [Edit in AWS Organizations (AWS Organizations での編集)] を選択して、追加の詳細を標示し、組織 コンソールで SCP を編集します。詳細については、AWS Organizations ユーザーガイドの「SCP の更新」を参照してください。

組織 のデータの表示 (AWS CLI)

AWS CLI を使用して、組織 ルート、OU、アカウント、またはポリシーのサービスの最終アクセス時間データを取得できます。

組織 サービスの最終アクセス時間データを表示するには (AWS CLI)

  1. 必要な IAM および 組織 のアクセス権限がある 組織 マスターアカウント認証情報を使用して、ルートに対して SCP が有効になっていることを確認します。詳細については、「主要事項」を参照してください。

  2. レポートを生成します。リクエストには、レポートが必要な 組織 エンティティ (ルート、OU、またはアカウント) のパスを含める必要があります。必要に応じて、organization-policy-id パラメータを含めて、特定のポリシーのレポートを表示できます。コマンドにより、job-id が返されます。これを get-organizations-access-report コマンドで使用してジョブが完了するまで job-status を監視できます。

  3. 前のステップの job-id パラメータを使用して、レポートに関する詳細を取得します。

    このコマンドにより、エンティティメンバーがアクセスできるサービスのリストが返されます。サービスごとに、このコマンドにより、エンティティメンバーが最後に試行した日時とアカウントのエンティティパスが返されます。また、アクセス可能なサービスの総数とアクセスされなかったサービスの数も返されます。オプションの organizations-policy-id パラメータを指定した場合、アクセス可能なサービスは指定したポリシーによって許可されたものです。

組織 のデータの表示 (AWS API)

AWS API を使用して、組織 ルート、OU、アカウント、またはポリシーのサービスの最終アクセス時間データを取得できます。

組織 サービスの最終アクセス時間データを表示するには (AWS API)

  1. 必要な IAM および 組織 のアクセス権限がある 組織 マスターアカウント認証情報を使用して、ルートに対して SCP が有効になっていることを確認します。詳細については、「主要事項」を参照してください。

  2. レポートを生成します。リクエストには、レポートが必要な 組織 エンティティ (ルート、OU、またはアカウント) のパスを含める必要があります。必要に応じて、OrganizationsPolicyId パラメータを含めて、特定のポリシーのレポートを表示できます。オペレーションにより、JobId が返されます。これを GetOrganizationsAccessReport オペレーションで使用して、ジョブが完了するまで、JobStatus を監視できます。

  3. 前のステップの JobId パラメータを使用して、レポートに関する詳細を取得します。

    このオペレーションにより、エンティティメンバーがアクセスできるサービスのリストが返されます。サービスごとに、このオペレーションにより、エンティティメンバーが最後に試行した日時とアカウントのエンティティパスが返されます。また、アクセス可能なサービスの総数とアクセスされなかったサービスの数も返されます。オプションの OrganizationsPolicyId パラメータを指定した場合、アクセス可能なサービスは指定したポリシーによって許可されたものです。