AWS Identity and Access Management
ユーザーガイド

IAM のサービスの最終アクセス時間データの表示

IAM のサービスの最終アクセス時間データを表示するには、AWS マネジメントコンソール、AWS CLI または AWS API を使用します。サービスの最終アクセス時間データの詳細については、「サービスの最終アクセス時間データを使用したアクセス許可の調整」を参照してください。

IAM のリソースのタイプごとにデータを表示できます。いずれの場合も、データには、指定された報告期間に許可されたサービスが含まれます。

  • ユーザー – ユーザーが許可された各サービスへのアクセスを最後に試みた時間を表示します。

  • グループ – グループメンバーが許可された各サービスへのアクセスを最後に試みた時間に関する情報を表示します。また、このレポートには、アクセスを試みたメンバーの合計数も表示されます。

  • ロール – 許可された各サービスへのアクセスにおいて、ユーザーが最後にロールを使用した時間を表示します。

  • ポリシー – ユーザーまたはロールが許可された各サービスへのアクセスを最後に試みた時間に関する情報を表示します。また、このレポートには、アクセスを試みたエンティティの合計数も表示されます。

注記

IAM のリソースに関するアクセスデータを表示する前に、データのレポート期間、レポート対象のエンティティ、評価対象のポリシータイプをご確認ください。詳細については、「主要事項」を参照してください。

IAM のデータの表示 (コンソール)

IAM コンソールの [アクセスアドバイザー] タブで、IAM のサービスの最終アクセス時間データを表示できます。

IAM のデータを表示するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[グループ]、[ユーザー]、[ロール]、または [ポリシー] を選択します。

  3. 任意のユーザー、グループ、ロール、またはポリシーの名前をクリックして、その[概要] ページを開き、[アクセスアドバイザー] タブを選択します。選択したリソースに基づき、次の情報を表示します。

    • グループ – グループメンバー (ユーザー) がアクセスできるサービスのリスト、メンバーによるサービスへの最終アクセス時間、使用したグループポリシー、リクエストを行ったグループメンバーを表示します。ポリシーの名前を選択して、ポリシーが管理ポリシーかインライングループポリシーかを確認します。グループメンバーの名前を選択して、グループのすべてのメンバーと、サービスへの最終アクセス時間を選択します。

    • ユーザー – ユーザーがアクセスできるサービス、サービスへの最終アクセス時間、および使用したポリシーのリストを表示します。ポリシーの名前を選択して、ポリシーが管理されているかどうか、インラインユーザーポリシー、またはユーザーが所属するグループのインラインポリシーを確認します。

    • ロール – ロールでアクセスできるサービス、サービスへのロールの最終アクセス時間、および使用したポリシーのリストを表示します。ポリシーの名前を選択して、ポリシーが管理ポリシーかインラインロールポリシーかを確認します。

    • ポリシー – ポリシーに許可されたアクション、サービスへのアクセスに最後に使用したポリシー、およびポリシーを使用したエンティティ (ユーザーまたはロール) のリストを表示します。エンティティの名前を選択して、このポリシーがアタッチされているエンティティや、サービスへの最終アクセス時間を確認します。

IAM のデータの表示 (AWS CLI)

AWS CLI を使用して、IAM リソースが最後に AWS サービスにアクセスしようとした時間に関するデータを取得できます。IAM リソースには、ユーザー、グループ、ロール、またはポリシーを選択できます。

IAM のデータを表示するには (AWS CLI)

  1. レポートを生成します。レポートで必要な IAM リソース (ユーザー、グループ、ロール、またはポリシー) の ARN がリクエストに含まれている必要があります。job-id が返ります。これを使用して、get-service-last-accessed-details および get-service-last-accessed-details-with-entities オペレーションを使用して、ジョブが完了するまで、job-status をモニタリングできます。

  2. 前のステップの job-id パラメータを使用して、レポートに関する詳細を取得します。

    このオペレーションでは、generate-service-last-accessed-details オペレーションでリクエストしたリソースのタイプに基づき、次の情報が返ります。

    • ユーザー – 指定したユーザーがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、ユーザーが最後に試行した日時とユーザーの ARN を返します。

    • グループ – グループに関連付けられたポリシーを使用して、指定したグループのメンバーがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、グループメンバー (ユーザー) が最後に試行した日時を返します。また、そのユーザーの ARN と、サービスにアクセスしようとしたグループメンバーの合計数も返ります。GetServiceLastAccessedDetailsWithEntities オペレーションを使用して、すべてのメンバーのリストを取得します。

    • ロール – 指定したロールがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、ロールが最後に試行した日時とロールの ARN を返します。

    • ポリシー – 指定されたポリシーがアクセスを許可するサービスのリストを返します。各サービスについて、オペレーションは、エンティティ (ユーザーまたはロール) が最後にポリシーを使用してサービスにアクセスしようとした日時を返します。また、そのエンティティの ARN とアクセスを試みたエンティティの合計数も返ります。

  3. 特定のサービスにアクセスするためにグループまたはポリシーのアクセス許可を使用したエンティティについて説明します。このオペレーションは、各エンティティの ARN、ID、名前、パス、タイプ (ユーザーまたはロール)、および最後にサービスにアクセスしようとしたエンティティのリストを返します。このオペレーションは、ユーザーとロールに対しても使用できますが、そのエンティティに関する情報のみが返ります。

  4. 特定のサービスにアクセスする際にアイデンティティ (ユーザー、グループ、またはロール) が使用したアイデンティティベースのポリシーについて説明します。アイデンティティとサービスを指定すると、このオペレーションは、アイデンティティが指定されたサービスにアクセスするために使用できるアクセス許可ポリシーのリストを返します。このオペレーションは、ポリシーの現在の状態を示し、生成されたレポートには依存しません。また、他のポリシータイプ (例: リソースベースのポリシー、アクセスコントロールリスト、AWS Organizations ポリシー、IAM アクセス許可の境界、セッションポリシー) は返されません。詳細については、「ポリシータイプ」または「単一アカウント内のポリシーを評価する」を参照してください。

IAM のデータの表示 (AWS API)

AWS API を使用して、IAM リソースが最後に AWS サービスにアクセスしようとした時間に関するデータを取得できます。IAM リソースには、ユーザー、グループ、ロール、またはポリシーを選択できます。

IAM のデータを表示するには (AWS API)

  1. レポートを生成します。レポートで必要な IAM リソース (ユーザー、グループ、ロール、またはポリシー) の ARN がリクエストに含まれている必要があります。JobId が返ります。これを使用して、GetServiceLastAccessedDetails および GetServiceLastAccessedDetailsWithEntities オペレーションを使用して、ジョブが完了するまで、JobStatus をモニタリングできます。

  2. 前のステップの JobId パラメータを使用して、レポートに関する詳細を取得します。

    このオペレーションでは、GenerateServiceLastAccessedDetails オペレーションでリクエストしたリソースのタイプに基づき、次の情報が返ります。

    • ユーザー – 指定したユーザーがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、ユーザーが最後に試行した日時とユーザーの ARN を返します。

    • グループ – グループに関連付けられたポリシーを使用して、指定したグループのメンバーがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、グループメンバー (ユーザー) が最後に試行した日時を返します。また、そのユーザーの ARN と、サービスにアクセスしようとしたグループメンバーの合計数も返ります。GetServiceLastAccessedDetailsWithEntities オペレーションを使用して、すべてのメンバーのリストを取得します。

    • ロール – 指定したロールがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、ロールが最後に試行した日時とロールの ARN を返します。

    • ポリシー – 指定されたポリシーがアクセスを許可するサービスのリストを返します。各サービスについて、オペレーションは、エンティティ (ユーザーまたはロール) が最後にポリシーを使用してサービスにアクセスしようとした日時を返します。また、そのエンティティの ARN とアクセスを試みたエンティティの合計数も返ります。

  3. 特定のサービスにアクセスするためにグループまたはポリシーのアクセス許可を使用したエンティティについて説明します。このオペレーションは、各エンティティの ARN、ID、名前、パス、タイプ (ユーザーまたはロール)、および最後にサービスにアクセスしようとしたエンティティのリストを返します。このオペレーションは、ユーザーとロールに対しても使用できますが、そのエンティティに関する情報のみが返ります。

  4. 特定のサービスにアクセスする際にアイデンティティ (ユーザー、グループ、またはロール) が使用したアイデンティティベースのポリシーについて説明します。アイデンティティとサービスを指定すると、このオペレーションは、アイデンティティが指定されたサービスにアクセスするために使用できるアクセス許可ポリシーのリストを返します。このオペレーションは、ポリシーの現在の状態を示し、生成されたレポートには依存しません。また、他のポリシータイプ (例: リソースベースのポリシー、アクセスコントロールリスト、AWS Organizations ポリシー、IAM アクセス許可の境界、セッションポリシー) は返されません。詳細については、「ポリシータイプ」または「単一アカウント内のポリシーを評価する」を参照してください。