CloudTrail userIdentity エレメント
AWS Identity and Access Management (IAM) は、さまざまなタイプの ID を提供します。userIdentity
エレメントには、リクエストを行った IAM アイデンティティのタイプとどの認証情報が使用されたかに関する詳細が含まれます。一時的認証情報が使用された場合、エレメントは、認証情報がどのように取得されたかを示します。
例
IAM ユーザー認証情報を使用する userIdentity
次の例は、userIdentity
という名前の IAM ユーザー認証情報で行われた単純なリクエストの Alice
エレメントを示しています。
"userIdentity": { "type": "IAMUser", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "", "userName": "Alice" }
一時的セキュリティ認証情報を使用する userIdentity
次の例は、IAM ロールを引き受けることにより取得した一時的セキュリティ認証情報を使用して行われたリクエストの userIdentity
エレメントを示しています。エレメントには、認証情報を取得するために引き受けられたロールに関する追加の情報の詳細が含まれています。
"userIdentity": { "type": "AssumedRole", "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName", "accountId": "123456789012", "accessKeyId": "", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAIDPPEZS35WEXAMPLE", "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed", "accountId": "123456789012", "userName": "RoleToBeAssumed" } } }
フィールド
以下のフィールドは userIdentity
エレメントに表示されます。
type
-
ID のタイプ。以下の値を指定できます。
-
Root
– リクエストは、AWS アカウント認証情報で作成されました。userIdentity
タイプがRoot
で、アカウントのエイリアスを設定した場合、userName
フィールドには、アカウントエイリアスが含まれます。詳細については、「AWS アカウント ID とその別名」を参照してください。 -
IAMUser
– リクエストが IAM ユーザーの認証情報を使用して行われました。 -
AssumedRole
– リクエストは、AWS Security Token Service (AWS STS)AssumeRole
API を呼び出すことによってロールで取得された一時的なセキュリティ認証情報を使用して行われました。これには、Amazon EC2 のロールとクロスアカウント API アクセスを含めることができます。 -
Role
— リクエストは、特定の許可を持つ永続的な IAM アイデンティティを使用して行われました。ロールセッションの発行者は常にロールです。ロールの詳細については、IAM ユーザーガイド の「ロールに関する用語と概念」を参照してください。 -
FederatedUser
– リクエストは、AWS STSGetFederationToken
API の呼び出しを介して取得した一時的セキュリティ認証情報で行われました。sessionIssuer
エレメントは、API がルートまたは IAM ユーザー認証情報で呼び出されたかどうかを示します。一時的なセキュリティ認証情報の詳細については、IAM ユーザーガイドの「IAM の一時的なセキュリティ認証情報」を参照してください。
-
Directory
— リクエストがディレクトリサービスに対して行われ、タイプが不明です。ディレクトリサービスには、Amazon WorkDocs と Amazon QuickSight が含まれます。 -
AWSAccount
– リクエストが、別の AWS アカウントによって行われました。 -
AWSService
– リクエストは AWS サービスに属している AWS アカウントによって行われました。例えば、AWS Elastic Beanstalk は、アカウントで IAM ロールを引き受けて、ユーザーに代わって他の AWS サービスを呼び出すようにします。 -
Unknown
— リクエストは、CloudTrail が判断できないアイデンティティタイプで作成されました。
オプション: False
所有する IAM ロールを使用するクロスアカウントアクセスがある場合、
AWSAccount
とAWSService
が、ログにtype
として表示されます。例: 別の AWS アカウントによって開始されたクロスアカウントアクセス
-
アカウントには、IAM ロールがあります。
-
別の AWS アカウントは、アカウントのロールを引き受けるためにそのロールに切り替わります。
-
IAM ロールを所有しているため、他のアカウントがロールを引き受けたことを示すログを受信します。
type
は、AWSAccount
です。ログエントリの例については、「 CloudTrail ログファイル内の AWS STS API イベント」を参照してください。
例: AWS サービスによって開始されたクロスアカウントアクセス
-
アカウントには、IAM ロールがあります。
-
AWS サービスによって所有された AWS アカウントは、ロールを引き受けます。
-
IAM ロールを所有しているため、AWS サービスがロールを引き受けたことを示すログを受信します。
type
は、AWSService
です。
-
userName
-
呼び出しを行った ID のフレンドリ名。
userName
に表示される値は、type
の値に基づいています。次の表は、type
とuserName
の関係を示しています。type
userName
説明 Root
(エイリアスセットなし)なし AWS アカウントのエイリアスを設定していない場合、 userName
フィールドは表示されません。アカウントエイリアスの詳細については、「AWS アカウント ID とそのエイリアス」を参照してください。Root
は、ユーザー名ではなく ID の種類であるため、userName
フィールドには、Root
が含まれないことに注意してください。Root
(エイリアスセット)アカウントエイリアス AWS アカウントエイリアスの詳細については、「AWS アカウント ID とそのエイリアス」を参照してください。 IAMUser
IAM ユーザーのユーザー名 AssumedRole
なし AssumedRole
タイプの場合、sessionIssuer エレメントの一部として、sessionContext
内のuserName
フィールドを見つけることができます。エントリの例については、「例」を参照してください。Role
ユーザー定義 sessionContext
およびsessionIssuer
セクションには、ロールのセッションを発行した ID 関する情報が含まれています。FederatedUser
なし sessionContext
およびsessionIssuer
セクションには、フェデレーションユーザーのセッションを発行した ID 関する情報が含まれています。Directory
存在する場合があります 例えば、値は、アカウントエイリアスまたは関連する AWS アカウント ID の E メールアドレスの場合があります。 AWSService
なし AWSAccount
なし Unknown
存在する場合があります 例えば、値は、アカウントエイリアスまたは関連する AWS アカウント ID の E メールアドレスの場合があります。 オプション: True
注記 userName
フィールドには、記録されたイベントが正しくないユーザー名の入力によって引き起こされたコンソールサインインの失敗である場合、文字列HIDDEN_DUE_TO_SECURITY_REASONS
が入ります。次の例のように、テキストに機密情報が含まれている可能性があるため、CloudTrail は、この場合コンテンツを記録しません。-
ユーザーが誤ってユーザー名フィールドにパスワードを入力した。
-
ユーザーが AWS アカウントのサインインページのリンクをクリックしたが、別のアカウントのアカウント情報を入力した。
-
ユーザーが、個人の E メールアカウント、銀行のサインイン ID、その他のプライベート ID のアカウント名を誤って入力した。
-
principalId
-
呼び出しを行ったエンティティの一意の識別子 一時的セキュリティ認証情報で行われたリクエストの場合、この値には、
AssumeRole
、AssumeRoleWithWebIdentity
、GetFederationToken
API 呼び出しに渡されるセッション名が含まれます。オプション: True
arn
-
呼び出しを行ったプリンシパルの Amazon リソースネーム (ARN)。arn の最後のセクションには、呼び出しを行ったユーザーまたはロールが含まれています。
オプション: True
accountId
-
リクエストに対するアクセス許可を付与したエンティティを所有するアカウント。リクエストが、一時的セキュリティ認証情報で行われた場合、これは、認証情報を取得するために使用された IAM ユーザーまたはロールを所有するアカウントです。
オプション: True
accessKeyId
-
リクエストに署名するために使用された アクセスキー ID。リクエストが、一時的セキュリティ認証情報で行われた場合、これは、一時的認証情報のアクセスキー IDです。セキュリティ上の理由から、
accessKeyId
が存在しないか、空の文字列として表示される可能性があります。オプション: True
sessionContext
-
リクエストが、一時的セキュリティ認証情報を使用して行われた場合、これらの認証情報のために作成されたセッションに関する情報を提供する
sessionContext
です。一時的認証情報を返す API が呼び出されると、セッションが作成されます。セッションは、ユーザーがコンソールで作業するときや、ユーザーが多要素認証を含む API を使用してリクエストを行うときにも作成されます。このエレメントの属性は次のとおりです。-
creationDate
– 一時的セキュリティ認証情報が発行された日付と時刻。ISO 8601 の基本表記で表されます。 -
mfaAuthenticated
– リクエストに認証情報が使用されたルートユーザーまたは IAM ユーザーが、MFA デバイスで認証された場合、この値は、true
です。そうでない場合は、false
です。 -
sourceIdentity
- このトピックの「AWS STS ソースアイデンティティ」を参照してください。sourceIdentity
フィールドは、ユーザーがアクションを実行するために IAM ロールを引き受けるときにイベントで発生します。sourceIdentity
は、リクエストを行う元のユーザーアイデンティティを識別します。そのユーザーのアイデンティティが IAM ユーザー、IAM ロール、SAML ベースのフェデレーションを使用して認証されたユーザー、OpenID Connect (OIDC) 準拠のウェブ ID フェデレーションを使用して認証されたユーザーのいずれであるかを示します。ソースアイデンティティ情報を収集するよう AWS STS を設定する方法については、IAM ユーザーガイドの「予測されるロールで実行されるアクションのモニタリングと制御」を参照してください。
オプション: True
-
invokedBy
-
リクエストを行った AWS のサービスの名前 (Amazon EC2 Auto Scaling や AWS Elastic Beanstalk など)。
オプション: True
sessionIssuer
-
リクエストが一時的セキュリティ認証情報を使用して行われた場合、認証情報がどのように取得されたかに関する情報を提供するエレメント。たとえば、一時的セキュリティ認証情報が、ロールを引き受けることで取得された場合、このエレメントは、引き受けたロールに関する情報を提供します。認証情報が AWS STS
GetFederationToken
を呼び出すためのルートまたは IAM ユーザー認証情報で取得された場合、エレメントは、ルートアカウントまたは IAM ユーザーに関する情報を提供します。このエレメントの属性は次のとおりです。-
type
–Root
、IAMUser
、Role
などの一時的セキュリティ認証情報のソース。 -
userName
– セッションを発行したユーザーまたはロールのフレンドリ名。表示される値は、sessionIssuer
IDtype
によって異なります。次の表は、sessionIssuer type
とuserName
の関係を示しています。sessionIssuer
typeuserName
説明 Root
(エイリアスセットなし)なし アカウントのエイリアスを設定していない場合、 userName
フィールドは表示されません。AWS アカウントエイリアスの詳細については、「AWS アカウント ID とそのエイリアス」を参照してください。Root
は、ユーザー名ではなく ID の種類であるため、userName
フィールドには、Root
が含まれないことに注意してください。Root
(エイリアスセット)アカウントエイリアス AWS アカウントエイリアスの詳細については、「AWS アカウント ID とそのエイリアス」を参照してください。 IAMUser
IAM ユーザーのユーザー名 これは、フェデレーションユーザーが、 IAMUser
によって発行されたセッションを使用している場合にも適用されます。Role
ロール名 ロールセッションで IAM ユーザー、AWS サービス、ウェブ ID フェデレーティッドユーザーによって引き継がれるロール。 -
principalId
– 認証情報を取得するために使用されたエンティティの内部 ID。 -
arn
– 一時的セキュリティ認証情報を取得するために使用されたソース (アカウント、IAM ユーザー、ロール) のARN。 -
accountId
– 認証情報を取得するために使用されたエンティティを所有するアカウント。
オプション: True
-
webIdFederationData
-
リクエストが、ウェブ ID フェデレーションによって取得された一時的セキュリティ認証情報で行われた場合、ID プロバイダーに関する情報をリストするエレメント。このエレメントの属性は次のとおりです。
-
federatedProvider
– ID プロバイダーのプリンシパル名 (たとえば、Login with Amazon の場合は、www.amazon.com
、Google の場合は、accounts.google.com
)。 -
attributes
– プロバイダーからレポートされるアプリケーションの ID とユーザー ID (たとえば、Login with Amazon の場合は、www.amazon.com:app_id
とwww.amazon.com:user_id
)。詳細については、IAM ユーザーガイドの「ウェブ ID フェデレーションで利用可能なキー」を参照してください。
オプション: True
-
SAML とウェブ ID フェデレーションを使用する AWS STS API の値
AWS CloudTrail は、Security Assertion Markup Language (SAML) とウェブ ID フェデレーションで行われた AWS Security Token Service (AWS STS) API コールのログ記録をサポートします。AssumeRoleWithSAML
と AssumeRoleWithWebIdentity
API への呼び出しが行われると、CloudTrail は、コールを記録し、イベントを Amazon S3 バケットに配信します。
これらの API の userIdentity
エレメントには、次の値が含まれています。
type
-
ID のタイプ。
-
SAMLUser
– リクエストは、SAML アサーションを使用して行われました。 -
WebIdentityUser
– リクエストは、ウェブ ID フェデレーションプロバイダーによって行われました。
-
principalId
-
呼び出しを行ったエンティティの一意の識別子
-
SAMLUser
の場合、これは、saml:namequalifier
キーとsaml:sub
キーの組み合わせです。 -
WebIdentityUser
の場合は、これは、発行者、アプリケーション ID、ユーザー ID の組み合わせです。
-
userName
-
呼び出しを行った ID の名前。
-
SAMLUser
の場合、これは、saml:sub
キーです。「SAML ベースのフェデレーションに利用可能なキー」を参照してください。 -
WebIdentityUser
の場合、これはユーザー ID です。「ウェブ ID フェデレーションで利用可能なキー」を参照してください。
-
identityProvider
-
外部 ID プロバイダーのプリンシパル名。このフィールドは、
SAMLUser
またはWebIdentityUser
タイプに対してのみ表示されます。-
SAMLUser
の場合、これは、SAML アサーションのsaml:namequalifier
キーです。 -
WebIdentityUser
の場合、これは、ウェブ ID フェデレーションプロバイダーの発行者の名前です。これは、次のように設定したプロバイダーになります。-
cognito-identity.amazon.com
Amazon Cognito for iOS -
Login with Amazon の場合
www.amazon.com
-
Google の場合
accounts.google.com
-
Facebook の場合
graph.facebook.com
-
-
AssumeRoleWithWebIdentity
アクションの userIdentity
エレメントの例を次に示します。
"userIdentity": { "type": "WebIdentityUser", "principalId": "accounts.google.com:
application-id
.apps.googleusercontent.com:user-id
", "userName": "user-id
", "identityProvider": "accounts.google.com" }
SAMLUser
と WebIdentityUser
タイプに対する userIdentity
エレメントの表示方法のログの例については、「AWS CloudTrail による IAM イベントのログ記録」を参照してください。
AWS STS ソースアイデンティティ
IAM 管理者は、AWS Security Token Service を設定して、ロールを引き受けるために一時的な認証情報を使用するときに、ユーザーが自分のアイデンティティを指定するように要求します。sourceIdentity
フィールドは、ユーザーが IAM ロールを引き受けるとき、または予測したロールでアクションを実行するときに発生するイベントです。
sourceIdentity
フィールドは、リクエストを行う元のユーザーアイデンティティを識別します。そのユーザーのアイデンティティが IAM ユーザー、IAM ロール、SAML ベースのフェデレーションを使用して認証されたユーザー、OpenID Connect (OIDC) 準拠のウェブ ID フェデレーションを使用して認証されたユーザーのいずれであるかを示します。IAM 管理者が AWS STS を設定した後、CloudTrail が sourceIdentity
情報をイベントレコード内の次のイベントと場所に保存します。
-
AWS STS
AssumeRole
、AssumeRoleWithSAML
またはAssumeRoleWithWebIdentity
は、ロールを引き受けるときにユーザアイデンティティが行う呼び出しです。sourceIdentity
は、AWS STS コールのrequestParameters
ブロック内にあります。 -
AWS STS
AssumeRole
、AssumeRoleWithSAML
またはAssumeRoleWithWebIdentity
は、ロールを使用して別のロールを引き受ける場合に、ユーザーアイデンティティが行う呼び出しをロール連鎖で行います。sourceIdentity
は、AWS STS コールのrequestParameters
ブロックを呼び出します。 -
ロールを引き受け、AWS STS によって割り当てられた一時認証情報を使用しながらユーザーアイデンティティが行う AWS サービスの API コール。サービス API イベントでは、
sourceIdentity
は、sessionContext
ブロックにあります。例えば、ユーザーアイデンティティによって新しい S3 バケットが作成された場合、sourceIdentity
は、CreateBucket
イベントのsessionContext
ブロックで発生します。
ソースアイデンティティ情報を収集するよう AWS STS を設定する方法については、IAM ユーザーガイドの「予測されるロールで実行されるアクションのモニタリングと制御」を参照してください。CloudTrail に記録された AWS STS イベントについての詳細は、IAM ユーザーガイドの「AWS CloudTrail での IAM ログ記録と AWS STS API コール」の。
以下は、sourceIdentity
フィールドを表示するイベントのスニペットの例です。
requestParameters
セクションの例
次のイベントスニペット例では、ユーザーが AWS STS AssumeRole
リクエストを作成し、ソースアイデンティティを設定します。ここでは source-identity-value-set
を例としてあげます。ユーザーは、ロール ARN arn:aws:iam::123456789012:role/Assumed_Role
で表されるロールを引き受けます。sourceIdentity
フィールドが requestParameters
イベントのブロックです。
"eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "accountId": "123456789012" }, "eventTime": "2020-04-02T18:20:53Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRole", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.64", "userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86", "requestParameters": { "roleArn": "arn:aws:iam::123456789012:role/Assumed_Role", "roleSessionName": "Test1", "sourceIdentity": "
source-identity-value-set
", },
responseElements
セクションの例
次のイベントスニペット例では、ユーザーがと Developer_Role
いう名前のロールを引き受けるための AWS STS AssumeRole
リクエストし、ソースアイデンティティである Admin
を設定します。ユーザーは、ロール ARN arn:aws:iam::111122223333:role/Developer_Role
で表されるロールを引き受けます。sourceIdentity
フィールドは、イベントの requestParameters
および responseElements
両方のブロックで表示されます。ロールを引き受けるために使用される一時的な認証情報、セッショントークン文字列、引き受けるロール ID、セッション名、セッション ARN は、responseElements
ブロックで、ソースアイデンティティとともに表示されます。
"requestParameters": { "roleArn": "arn:aws:iam::111122223333:role/Developer_Role", "roleSessionName": "Session_Name", "sourceIdentity": "Admin" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "expiration": "Jan 22, 2021 12:46:28 AM", "sessionToken": "XXYYaz... EXAMPLE_SESSION_TOKEN XXyYaZAz" }, "assumedRoleUser": { "assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name", "arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name" }, "sourceIdentity": "Admin" } ...
sessionContext
セクションの例
次のイベントスニペットの例では、ユーザーは AWS サービス API を呼び出すために DevRole
という名前のロールを引き受けます。ユーザーは、ソースアイデンティティを設定します。ここでは source-identity-value-set
を例としてあげます。sourceIdentity
フィールドはイベントの userIdentity
ブロック内では sessionContext
ブロックにあります。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1", "arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAJ45Q7YFFAREXAMPLE", "arn": "arn: aws: iam: : 123456789012: role/DevRole", "accountId": "123456789012", "userName": "DevRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-02-21T23: 46: 28Z" }, "sourceIdentity": "
source-identity-value-set
" } } }