使用していない AWS 認証情報の検索 - AWS Identity and Access Management

使用していない AWS 認証情報の検索

AWS アカウント のセキュリティを高めるには、不要な IAM ユーザー認証 (パスワードおよびアクセスキー) を削除します。たとえば、ユーザーが組織を離れる際、または今後 AWS へのアクセスが不要な場合には、使用されていた認証情報を検索し、それらが無効になっていることを確認する必要があります。必要のなくなった認証情報は削除することが理想的です。それらは必要に応じて、後日いつでも再作成できます。少なくとも、パスワードを変更するか、アクセスキーを無効にして、以前のユーザーがアクセスできないようにする必要があります。

もちろん、使用していないの定義は異なる可能性がありますが、通常は特定の期間内に使用されなかった認証情報を指します。

使用していないパスワードの検索

AWS Management Console を使用して、ユーザーのパスワード使用状況情報を表示できます。多数のユーザーがいる場合は、コンソールを使用して、ユーザーごとのコンソールパスワードの最終使用日時に関する情報を含む認証情報レポートをダウンロードできます。また、AWS CLI または IAM API から情報にアクセスすることも可能です。

未使用のパスワードを検索するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users (ユーザー)] を選択します。

  3. 必要に応じて、[Console last sign-in (コンソールへの前回サインイン)] 列を USERS テーブルに追加します。

    1. 右端のテーブルの上で、設定アイコン ( Settings icon ) を選択します。

    2. [表示する列の選択] で、[コンソールの最終サインイン] を選択します。

    3. [確認] を選択して、ユーザーのリストに戻ります。

  4. [Console last sign-in] (コンソールへの最終サインイン) 列に、ユーザーがコンソールを通じて AWS に最後にサインインした日付が表示されます。この情報を使用して、特定の期間以上サインインしていないユーザーとパスワードを検索できます。この列には、一度もサインインしていないユーザーとパスワードに、[なし] と表示されます。[なし] は、パスワードが設定されていないユーザーを表します。最近使用されていないパスワードは削除の対象となります。

    重要

    サービス上の問題により、前回使用したパスワードに関するデータには、2018 年 5 月 3 日 22 時 50 分 (太平洋夏時間) から 2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) までのパスワードの使用は含まれません。これは、IAM コンソールに表示される前回サインインした日付および IAM 認証情報レポートでパスワードを前回使用した日付として GetUser API オペレーションから返される日付に影響を与えます。該当する期間中にユーザーがサインインした場合、パスワードを前回使用した日付として返される日付は、2018 年 5 月 3 日より前にユーザーが最後にサインインした日付になります。2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) より後にサインインしたユーザーの場合、パスワードを前回使用した日付として返される日付は正確です。

    前回使用したパスワードに関する情報を使用して未使用の認証情報を特定して削除する (例: 過去 90 日間に AWS にサインインしなかったユーザーを削除する) 場合は、2018 年 5 月 23 日より後の日付を含めるように評価ウィンドウを調整してください。または、ユーザーがアクセスキーを使用して AWS にプログラムでアクセスする場合は、前回使用したアクセスキーの情報を参照できます。これはすべての日付について正確であるためです。

コンソールで認証情報レポートをダウンロードして、使用されていないパスワードを検索するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[認証情報レポート] を選択します。

  3. [レポートをダウンロード] を選択して、status_reports_<date>T<time>.csv という名前のカンマ区切り値 (CSV) のファイルをダウンロードします。5 番目の列には、日付または以下のいずれか 1 つを含む password_last_used 列が表示されます。

    • 該当なし – 割り当てられているパスワードが 1 つもないユーザー。

    • [no_information (情報なし)] – IAM パスワードの有効期間の追跡を開始した 2014 年 10 月 20 日以降にパスワードを使用していないユーザー。

未使用のパスワードを見つけるには (AWS CLI)

未使用のパスワードを見つけるには、次のコマンドを実行します。

  • aws iam list-users は、ユーザーのリストを返します。各ユーザーには、PasswordLastUsed 値が設定されています。値がない場合は、ユーザーがパスワードを持っていないか、IAM がパスワードの有効期限の追跡を開始した 2014 年 10 月 20 日以降にパスワードが使用されていないことを示します。

未使用のパスワードを見つけるには (AWS API)

未使用のパスワードを見つけるには、次のオペレーションを呼び出します。

  • ListUsers は、ユーザーのコレクションを返します。各ユーザーには、<PasswordLastUsed> 値が設定されています。値がない場合は、ユーザーがパスワードを持っていないか、IAM がパスワードの古さの追跡を開始した 2014 年 10 月 20 日以降にパスワードが使用されていないことを示します。

認証情報レポートをダウンロードするためのコマンドについては、「認証情報レポートの取得 (AWS CLI)」を参照してください。

使用していないアクセスキーの検索

AWS Management Console を使用して、ユーザーのアクセスキーの使用状況に関する情報を表示できます。多数のユーザーがいる場合は、コンソールを使用して認証情報レポートをダウンロードし、ユーザーごとのアクセスキーの最終使用日時を検索できます。また、AWS CLI または IAM API から情報にアクセスすることも可能です。

使用していないアクセスキーを検索するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users (ユーザー)] を選択します。

  3. 必要に応じて、[Access key last used (アクセスキー前回使用)] 列をユーザーテーブルに追加します。

    1. 右端のテーブルの上で、設定アイコン ( Settings icon ) を選択します。

    2. [表示する列の選択] で、[最後に使用したアクセスキー] を選択します。

    3. [確認] を選択して、ユーザーのリストに戻ります。

  4. [Access key last used (アクセスキー前回使用)] 列には、ユーザーがプログラムで最後に AWS にアクセスしてから経過した日数が表示されます。この情報を使用して、指定の期間以上使用されていないアクセスキーを持つユーザーを検索できます。この列のアクセスキーのないユーザーに、[–] と表示されます。最近使用されていないアクセスキーは削除の対象となります。

認証情報レポートをダウンロードして、使用していないアクセスキーを検索するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[認証情報レポート] を選択します。

  3. [レポートをダウンロード] を選択して、status_reports_<date>T<time>.csv という名前のカンマ区切り値 (CSV) のファイルをダウンロードします。列 11 ~ 13 にはアクセスキー 1 を最後に使用した日付、アクセスキーのリージョン、およびサービス情報が含まれます。列 16 ~ 18 にはアクセスキー 2 の同様の情報が含まれます。ユーザーがアクセスキーを持っていないか、IAM がアクセスキーの有効期限の追跡を開始した 2015 年 4 月 22 日以降にアクセスキーが使用されていない場合、値 [該当なし] が表示されます。

未使用のアクセスキーを見つけるには (AWS CLI)

以下のコマンドを使用して、未使用のアクセスキーを見つけることができます。

  • aws iam list-access-keysAccessKeyID を含む、ユーザーのアクセスキーに関する情報を返します。

  • aws iam get-access-key-last-used はアクセスキー ID を使用して、LastUsedDate、アクセスキーを最後に使用した Region、最後に要求されたサービスの ServiceName を含む出力を返します。LastUsedDate が見つからない場合、IAM がアクセスキーの有効期限の追跡を開始した 2015 年 4 月 22 日以降にアクセスキーは使用されていません。

未使用のアクセスキーを見つけるには (AWS API)

未使用のアクセスキーを見つけるには、以下のオペレーションを呼び出します。

  • ListAccessKeys は指定したユーザーに関連付けられたアクセスキーの AccessKeyID 値のリストを返します。

  • GetAccessKeyLastUsed はアクセスキー ID を使用して、値のコレクションを返します。これには、LastUsedDate、アクセスキーを最後に使用した Region、最後に要求されたサービスの ServiceName が含まれています。値が見つからない場合、ユーザーがアクセスキーを持っていないか、IAM がアクセスキーの古さの追跡を開始した 2015 年 4 月 22 日以降にアクセスキーが使用されていないことを示します。

認証情報レポートをダウンロードするためのコマンドについては、「認証情報レポートの取得 (AWS CLI)」を参照してください。