AWS アカウント の認証情報レポートを生成します。
アカウントのすべてのユーザーと、ユーザーの各種認証情報 (パスワード、アクセスキー、MFA デバイスなど) のステータスが示された認証情報レポートを生成し、ダウンロードできます。認証情報レポートは、AWS Management Console、AWS SDK
認証情報レポートを使用して、監査やコンプライアンスの作業を支援することができます。このレポートを使用して、パスワードやアクセスキーの更新など、認証情報ライフサイクルの要件の効果を監査できます。外部の監査人にこのレポートを提供することも、監査人が直接このレポートをダウンロードできるようにアクセス権限を付与することもできます。
認証情報レポートは、4 時間ごとに 1 回生成できます。レポートをリクエストすると、IAM はまず AWS アカウント について過去 4 時間以内にレポートが生成されたかどうかを確認します。レポートが生成されている場合は、最新のレポートがダウンロードされます。アカウントの最新のレポートが 4 時間以上前のものであるか、アカウントに以前のレポートがない場合、IAM は新しいレポートを生成してダウンロードします。
必要なアクセス許可
レポートを作成してダウンロードするには、以下のアクセス許可が必要です。
-
認証情報レポートを作成生成するには:
iam:GenerateCredentialReport
-
レポートをダウンロードするには:
iam:GetCredentialReport
レポートフォーマットの理解
認証情報レポートは、カンマ区切り値(CSV)ファイルとしてフォーマットされます。CSV ファイルを一般的なスプレッドシートソフトウェアで開いて分析を実行できます。また、CSV ファイルをプログラム的に利用するアプリケーションを作成して、カスタム分析を実行することもできます。
CSV ファイルには、次の列が含まれます。
- ユーザー
-
ユーザーのわかりやすい名前。
- arn
-
ユーザーの Amazon リソースネーム(ARN)。ARN の詳細については、IAM ARNを参照してください。
- user_creation_time
-
ユーザーが作成された日時 (ISO 8601 日付/時刻形式
)。 - password_enabled
-
ユーザーがパスワードを持っている場合、この値は
TRUE
です。それ以外の場合は、FALSE
です。 - password_last_used
-
AWS アカウントのルートユーザー またはユーザーのパスワードを使用して最後に AWS ウェブサイトにサインインした日時「(ISO 8601 日付/時刻形式)
」。AWS ユーザーの最終サインイン時刻をキャプチャするウェブサイトには、AWS Management Console、AWS ディスカッションフォーラム、および AWS Marketplace があります。5 分以内にパスワードが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。 -
次のような場合、このフィールドの値は
no_information
になります。-
ユーザーのパスワードが使用されたことがない場合。
-
IAM が 2014 年 10 月 20 日にこの情報の追跡を開始してから、ユーザーのパスワードが使用されていないなど、パスワードに関連付けられたサインインデータがない場合。
-
-
ユーザーがパスワードを所有していない場合、このフィールドの値は
N/A
(該当なし) です。
-
重要
サービス上の問題により、前回使用したパスワードに関するデータには、2018 年 5 月 3 日 22 時 50 分 (太平洋夏時間) から 2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) までのパスワードの使用は含まれません。これは、IAM コンソールに表示される前回サインインした日付および IAM 認証情報レポートでパスワードを前回使用した日付として GetUser API オペレーションから返される日付に影響を与えます。該当する期間中にユーザーがサインインした場合、パスワードを前回使用した日付として返される日付は、2018 年 5 月 3 日より前にユーザーが最後にサインインした日付になります。2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) より後にサインインしたユーザーの場合、パスワードを前回使用した日付として返される日付は正確です。
前回使用したパスワードに関する情報を使用して未使用の認証情報を特定して削除する (例: 過去 90 日間に AWS にサインインしなかったユーザーを削除する) 場合は、2018 年 5 月 23 日より後の日付を含めるように評価ウィンドウを調整してください。または、ユーザーがアクセスキーを使用して AWS にプログラムでアクセスする場合は、前回使用したアクセスキーの情報を参照できます。これはすべての日付について正確であるためです。
- password_last_changed
-
ユーザーのパスワードが最後に設定された日時 (ISO 8601 日付/時刻形式
)。ユーザーがパスワードを所有していない場合、このフィールドの値は N/A
(該当なし) です。 - password_next_rotation
-
アカウントにパスワードの更新を必要とするパスワードポリシーがある場合、このフィールドには、新しいパスワードを設定するようユーザーに求める日時 (ISO 8601 日付/時刻形式
) が保存されます。AWS アカウント (ルート) の値は常に not_supported
です。 - mfa_active
-
ユーザーに対して多要素認証 (MFA) デバイスが有効になっていた場合、この値は
TRUE
です。それ以外の場合は、FALSE
です。 - access_key_1_active
-
ユーザーがアクセスキーを所有し、そのアクセスキーのステータスが
Active
である場合、この値はTRUE
です。それ以外の場合は、FALSE
です。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。 - access_key_1_last_rotated
-
ユーザーのアクセスキーが作成または最後に変更された日時 (ISO 8601 日付/時刻形式
)。ユーザーがアクティブなアクセスキーを所有していない場合、このフィールドの値は N/A
(該当なし) です。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。 - access_key_1_last_used_date
-
AWS API リクエストの署名にユーザーのアクセスキーが直近に使用されたときの ISO 8601 日付/時刻形式
の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。 次のような場合、このフィールドの値は
N/A
(該当なし)になります。-
ユーザーにアクセスキーがない場合。
-
アクセスキーが一度も使用されていない場合。
-
IAM が 2015 年 4 月 22 日にこの情報の追跡を開始してから、アクセスキーが使用されていない場合。
-
- access_key_1_last_used_region
-
アクセスキーが直近に使用された AWS リージョン。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
次のような場合、このフィールドの値は
N/A
(該当なし)になります。-
ユーザーにアクセスキーがない場合。
-
アクセスキーが一度も使用されていない場合。
-
アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
-
最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。
-
- access_key_1_last_used_service
-
アクセスキーを使用して最近アクセスされた AWS サービス。このフィールドの値として、サービスの
s3
名前空間 (Amazon S3 の 、Amazon EC2 のec2
など) が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。次のような場合、このフィールドの値は
N/A
(該当なし)になります。-
ユーザーにアクセスキーがない場合。
-
アクセスキーが一度も使用されていない場合。
-
アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
-
- access_key_2_active
-
ユーザーが 2 つ目のアクセスキーを所有し、その 2 つ目のキーのステータスが
Active
である場合、この値はTRUE
です。それ以外の場合は、FALSE
です。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。注記
ユーザーはアクセスキーを 2 つまで持つことができ、最初にキーを更新してから前のキーを削除すると、ローテーションが簡単になります。アクセスキーの更新の詳細については、「アクセスキーを更新する」を参照してください。
- access_key_2_last_rotated
-
ユーザーの 2 つ目のアクセスキーが作成された、または最後に更新された日時 (ISO 8601 日付/時刻形式
)。ユーザーが 2 つ目のアクティブなアクセスキーを所有していない場合、このフィールドの値は N/A
(該当なし) です。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。 - access_key_2_last_used_date
-
AWS API リクエストの署名にユーザーの 2 つ目のアクセスキーが直近に使用されたときの ISO 8601 日付/時刻形式
の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。 次のような場合、このフィールドの値は
N/A
(該当なし)になります。-
ユーザーに 2 つ目のアクセスキーがない場合。
-
ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。
-
ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
-
- access_key_2_last_used_region
-
ユーザーの 2 つ目のアクセスキーが直近に使用された AWS リージョン。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。次のような場合、このフィールドの値は
N/A
(該当なし)になります。-
ユーザーに 2 つ目のアクセスキーがない場合。
-
ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。
-
ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
-
最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。
-
- access_key_2_last_used_service
-
ユーザーの 2 つ目のアクセスキーを使用して最近アクセスされた AWS サービス。このフィールドの値として、サービスの
s3
名前空間 (Amazon S3 の 、Amazon EC2 のec2
など) が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。次のような場合、このフィールドの値はN/A
(該当なし)になります。-
ユーザーに 2 つ目のアクセスキーがない場合。
-
ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。
-
ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
-
- cert_1_active
-
ユーザーが X.509 署名証明書を所有し、その証明書のステータスが
Active
である場合、この値はTRUE
です。それ以外の場合は、FALSE
です。 - cert_1_last_rotated
-
ユーザーの署名証明書が作成または最後に変更された日時 (ISO 8601 日付/時刻形式
)。ユーザーがアクティブな署名証明書を所有していない場合、このフィールドの値は N/A
(該当なし) です。 - cert_2_active
-
ユーザーが 2 つ目の X.509 署名証明書を所有し、その証明書のステータスが
Active
である場合、この値はTRUE
です。それ以外の場合は、FALSE
です。注記
証明書のローテーションを容易にするために、ユーザーは最大で 2 個の X.509 署名証明書を持つことができます。
- cert_2_last_rotated
-
ユーザーの 2 つ目の署名証明書が作成または最後に変更された日時 (ISO 8601 日付/時刻形式
)。ユーザーが 2 つ目のアクティブな署名証明書を所有していない場合、このフィールドの値は N/A
(該当なし) です。
認証情報レポートの取得 (コンソール)
AWS Management Consoleを使用して、認証情報レポートをカンマ区切り値 (CSV) ファイルとしてダウンロードできます。
認証情報レポートをダウンロードするには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[認証情報レポート] を選択します。
-
[レポートをダウンロード] を選択します。
認証情報レポートの取得 (AWS CLI)
認証情報レポートをダウンロードするには (AWS CLI)
-
認証情報レポートを生成します。AWS には、単一のレポートが格納されます。レポートが存在する場合、認証情報レポートを生成すると、以前のレポートが上書きされます。
aws iam generate-credential-report
-
最後に生成されたレポートを表示します:
aws iam get-credential-report
認証情報レポートの取得 (AWS API)
認証情報レポートをダウンロードするには (AWS API)
-
認証情報レポートを生成します。AWS には、単一のレポートが格納されます。レポートが存在する場合、認証情報レポートを生成すると、以前のレポートが上書きされます。
GenerateCredentialReport
-
最後に生成されたレポートを表示します:
GetCredentialReport