うちのアカウントにスイッチロールした人がいるけど誰?を調べる

この記事を書いたメンバー:

那須 隆

うちのアカウントにスイッチロールした人がいるけど誰?を調べる

目次

約 1 ヶ月ぶりに記事を書きました。那須です。
久々に記事を書くとうまく文章を書けない経験があるので、今日はあまり無理せず気になっていたことを調べた結果をご紹介します。

もしお客様からログイン確認の問い合わせがあったら…

ある日、お客様からこんな連絡があったとします。
「2020-03-03 10:25:18 PM に誰かスイッチロールして何かしてるっぽいですけどこれ御社のメンバーでしょうか?
不正アクセスとかだったら怖いのでちょっと確認してほしいのですが…」
さあどうでしょうか?
普段から AWS CLI で運用していて監査等でも問題ない環境だったら即答できると思いますが、普段の運用が Web の管理コンソールだった場合はピンとこないんじゃないでしょうか?
管理コンソールで作業した場合、スイッチロールすると ARN が arn:aws:sts::111111111111:assumed-role/RoleName/IAMUserName の形で CloudTrail のログに記録されるのですぐわかりますね。
AWS CLI だと、ARN は arn:aws:sts::111111111111:assumed-role/RoleName/botocore-session-1234567890 の形でCloudTrail のログに記録されます。
これでは誰だかまったくわかりません。
JSON のログは長いので、今回は CloudTrail で見れる画面のキャプチャがお客様から送られてきたことにしましょう。
↓こんな画面です。

実際に作業していた人の PowerShell 画面、もしくはターミナルの画面にはこのように出ていますので、自分でもなんだかよくわかりません。

どうやって調べるか?

いくつか調べ方はあるのですが、一番簡単なのが一時クレデンシャルのアクセスキーで検索する方法です。
スイッチロール先アカウントの CloudTrail ログをもらったら、AWS アクセスキー の箇所を見ましょう。
アクセスキーっぽい文字列があるはずです。
そのアクセスキーを、スイッチロール元アカウントの CloudTrail で検索します。
検索方法は以下の画像の通りで、フィルターでリソース名をキーにして、値を先ほど確認したアクセスキーにして検索します。
すると、該当するログだけがこのように表示されます。
この場合は、nasu ユーザが同時刻にスイッチロールして何かやっていたことがわかります。

さいごに

どんなに小さなことでも確認しないとわからないままになってしまうので、今回は細かいネタですが調べて書いてみました。
あとは、ちゃんと定期的に文章を書く習慣を取り戻そうと思いました。
すごく薄い情報ですが、ものすごくパワーを使いました…

上記がさらに簡単にできるようアップデートされました!


IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定

aws.amazon.com

og_img

作業者の CLI の config ファイルに以下のように role_session_name を追加してもらうことで誰が作業したのかがパッと見てすぐわかるようになりました!
role_session_name = ユーザ名
新たに以下の記事を書きましたので、参考にしてください。

https://www.beex-inc.com/blog/add_role_session_name



カテゴリー
タグ

Pick upピックアップ

Search記事を探す

キーワード

SAPシステムや基幹システムのクラウド移行・構築・保守、
DXに関して
お気軽にご相談ください

03-6260-6240 (受付時間 平日9:30〜18:00)