AWS Identity and Access Management
ユーザーガイド

AWS アカウントの認証情報レポートの取得

アカウントのすべてのユーザーと、ユーザーの各種認証情報 (パスワード、アクセスキー、MFA デバイスなど) のステータスが示された認証情報レポートを生成し、ダウンロードできます。認証情報レポートは、AWS マネジメントコンソール、AWS SDKコマンドラインツール、または IAM API から取得できます。

認証情報レポートを使用して、監査やコンプライアンスの作業を支援することができます。このレポートを使用して、パスワードやアクセスキーのローテーションなど、認証情報ライフサイクルの要件の結果を監査できます。外部の監査人にこのレポートを提供することも、監査人が直接このレポートをダウンロードできるようにアクセス権限を付与することもできます。

認証情報レポートは、4 時間ごとに 1 回生成できます。レポートをリクエストすると、IAM はまず AWS アカウントについて過去 4 時間以内にレポートが生成されたかどうかを確認します。レポートが生成されている場合は、最新のレポートがダウンロードされます。アカウントの最新のレポートが 4 時間以上前のものであるか、アカウントに以前のレポートがない場合、IAM は新しいレポートを生成してダウンロードします。

必要なアクセス許可

レポートを作成してダウンロードするには、以下のアクセス許可が必要です。

  • 認証情報レポートを作成生成するには: GenerateCredentialReport

  • レポートをダウンロードするには: GetCredentialReport

レポートフォーマットの理解

認証情報レポートは、カンマ区切り値(CSV)ファイルとしてフォーマットされます。CSV ファイルを一般的なスプレッドシートソフトウェアで開いて分析を実行できます。また、CSV ファイルをプログラム的に利用するアプリケーションを作成して、カスタム分析を実行することもできます。

CSV ファイルには、次の列が含まれます。

ユーザー

ユーザーのわかりやすい名前。

arn

ユーザーの Amazon リソースネーム(ARN)。ARN の詳細については、IAM ARNを参照してください。

user_creation_time

ユーザーが作成された日時 (ISO 8601 日付/時刻形式)。

password_enabled

ユーザーがパスワードを持っている場合、この値は TRUE です。それ以外の場合は FALSE です。AWS アカウントのルートユーザー の値は常に not_supported です。

password_last_used

AWS アカウントのルートユーザー または IAM ユーザーのパスワードを使用して最後に AWS ウェブサイトにサインインした日時 (ISO 8601 日付/時刻形式)。ユーザーの最終サインイン時刻をキャプチャする AWS ウェブサイトには、AWS マネジメントコンソール、AWS ディスカッションフォーラム、および AWS Marketplace があります。5 分以内にパスワードが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

  • 次のような場合、このフィールドの値は no_information になります。

    • ユーザーのパスワードが使用されたことがない場合。

    • IAM が 2014 年 10 月 20 日にこの情報の追跡を開始してから、ユーザーのパスワードが使用されていないなど、パスワードに関連付けられたサインインデータがない場合。

  • ユーザーがパスワードを所有していない場合、このフィールドの値は N/A (該当なし) です。

重要

サービス上の問題により、前回使用したパスワードに関するデータには、2018 年 5 月 3 日 22 時 50 分 (太平洋夏時間) から 2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) までのパスワードの使用は含まれません。これは、IAM コンソールに表示される前回サインインした日付および IAM 認証情報レポートでパスワードを前回使用した日付として GetUser API オペレーションから返される日付に影響を与えます。該当する期間中にユーザーがサインインした場合、パスワードを前回使用した日付として返される日付は、2018 年 5 月 3 日より前にユーザーが最後にサインインした日付になります。2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) より後にサインインしたユーザーの場合、パスワードを前回使用した日付として返される日付は正確です。

前回使用したパスワードに関する情報を使用して未使用の認証情報を特定して削除する (例: 過去 90 日間に AWS にサインインしなかったユーザーを削除する) 場合は、2018 年 5 月 23 日より後の日付を含めるように評価ウィンドウを調整してください。または、ユーザーがアクセスキーを使用して AWS にプログラムでアクセスする場合は、前回使用したアクセスキーの情報を参照できます。これはすべての日付について正確であるためです。

password_last_changed

ユーザーのパスワードが最後に設定された日時 (ISO 8601 日付/時刻形式)。ユーザーがパスワードを所有していない場合、このフィールドの値は N/A (該当なし) です。AWS アカウント (ルート) の値は常に not_supported です。

password_next_rotation

アカウントにパスワードの更新を必要とするパスワードポリシーがある場合、このフィールドには、新しいパスワードを設定するようユーザーに求める日時 (ISO 8601 日付/時刻形式) が保存されます。AWS アカウント (ルート) の値は常に not_supported です。

mfa_active

ユーザーに対して多要素認証 (MFA) デバイスが有効になっていた場合、この値は TRUE です。それ以外の場合は、FALSE です。

access_key_1_active

ユーザーがアクセスキーを所有し、そのアクセスキーのステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

access_key_1_last_rotated

ユーザーのアクセスキーが作成または最後に変更された日時 (ISO 8601 日付/時刻形式)。ユーザーがアクティブなアクセスキーを所有していない場合、このフィールドの値は N/A (該当なし) です。

access_key_1_last_used_date

AWS API リクエストの署名にユーザーのアクセスキーが直近に使用されたときの ISO 8601 日付/時刻形式の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • IAM が 2015 年 4 月 22 日にこの情報の追跡を開始してから、アクセスキーが使用されていない場合。

access_key_1_last_used_region

アクセスキーが直近に使用された AWS リージョン。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

  • 最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。

access_key_1_last_used_service

アクセスキーを使用して最も最近アクセスされた AWS サービス。このフィールドの値には、s3 for Amazon S3 や ec2 for Amazon EC2 などのサービスの名前空間が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーにアクセスキーがない場合。

  • アクセスキーが一度も使用されていない場合。

  • アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

access_key_2_active

ユーザーが 2 つ目のアクセスキーを所有し、その 2 つ目のキーのステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

注記

ローテーションを容易にするために、ユーザーは最大で 2 個のアクセスキーを持つことができます。アクセスキーのローテーションの詳細については、「アクセスキーの更新」を参照してください。

access_key_2_last_rotated

ユーザーの 2 つ目のアクセスキーが作成または最後に変更された日時 (ISO 8601 日付/時刻形式)。ユーザーが 2 つ目のアクティブなアクセスキーを所有していない場合、このフィールドの値は N/A (該当なし) です。

access_key_2_last_used_date

AWS API リクエストの署名にユーザーの 2 つ目のアクセスキーが直近に使用されたときの ISO 8601 日付/時刻形式の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。

次のような場合、このフィールドの値は N/A(該当なし)になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

access_key_2_last_used_region

ユーザーの 2 つ目のアクセスキーが直近に使用された AWS リージョン。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。次のような場合、このフィールドの値は N/A (該当なし) になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

  • 最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。

access_key_2_last_used_service

ユーザーの 2 つ目のアクセスキーを使用して最も最近アクセスされた AWS サービス。このフィールドの値には、s3 for Amazon S3 や ec2 for Amazon EC2 などのサービスの名前空間が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。次のような場合、このフィールドの値は N/A (該当なし) になります。

  • ユーザーに 2 つ目のアクセスキーがない場合。

  • ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。

  • ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。

cert_1_active

ユーザーが X.509 署名証明書を所有し、その証明書のステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

cert_1_last_rotated

ユーザーの署名証明書が作成または最後に変更された日時 (ISO 8601 日付/時刻形式)。ユーザーがアクティブな署名証明書を所有していない場合、このフィールドの値は N/A (該当なし) です。

cert_2_active

ユーザーが 2 つ目の X.509 署名証明書を所有し、その証明書のステータスが Active である場合、この値は TRUE です。それ以外の場合は、FALSE です。

注記

証明書のローテーションを容易にするために、ユーザーは最大で 2 個の X.509 署名証明書を持つことができます。

cert_2_last_rotated

ユーザーの 2 つ目の署名証明書が作成または最後に変更された日時 (ISO 8601 日付/時刻形式)。ユーザーが 2 つ目のアクティブな署名証明書を所有していない場合、このフィールドの値は N/A (該当なし) です。

認証情報レポートの取得 (コンソール)

AWS マネジメントコンソールを使用して、認証情報レポートをカンマ区切り値 (CSV) ファイルとしてダウンロードできます。

認証情報レポートをダウンロードするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[認証情報レポート] をクリックします。

  3. [レポートをダウンロード] をクリックします。

認証情報レポートの取得 (AWS CLI)

以下のコマンドを実行します。

認証情報レポートの取得 (AWS API)

以下のオペレーションを呼び出します。