BeeX Technical Blogうちのアカウントにスイッチロールした人がいるけど誰?を調べる

約 1 ヶ月ぶりに記事を書きました。那須です。

久々に記事を書くとうまく文章を書けない経験があるので、今日はあまり無理せず気になっていたことを調べた結果をご紹介します。

 

もしお客様からログイン確認の問い合わせがあったら…

ある日、お客様からこんな連絡があったとします。

「2020-03-03 10:25:18 PM に誰かスイッチロールして何かしてるっぽいですけどこれ御社のメンバーでしょうか?
不正アクセスとかだったら怖いのでちょっと確認してほしいのですが…」

さあどうでしょうか?
普段から AWS CLI で運用していて監査等でも問題ない環境だったら即答できると思いますが、普段の運用が Web の管理コンソールだった場合はピンとこないんじゃないでしょうか?

管理コンソールで作業した場合、スイッチロールすると ARN が arn:aws:sts::111111111111:assumed-role/RoleName/IAMUserName の形で CloudTrail のログに記録されるのですぐわかりますね。
AWS CLI だと、ARN は arn:aws:sts::111111111111:assumed-role/RoleName/botocore-session-1234567890 の形でCloudTrail のログに記録されます。
これでは誰だかまったくわかりません。

JSON のログは長いので、今回は CloudTrail で見れる画面のキャプチャがお客様から送られてきたことにしましょう。
↓こんな画面です。

実際に作業していた人の PowerShell 画面、もしくはターミナルの画面にはこのように出ていますので、自分でもなんだかよくわかりません。

 

どうやって調べるか?

いくつか調べ方はあるのですが、一番簡単なのが一時クレデンシャルのアクセスキーで検索する方法です。
スイッチロール先アカウントの CloudTrail ログをもらったら、AWS アクセスキー の箇所を見ましょう。
アクセスキーっぽい文字列があるはずです。

そのアクセスキーを、スイッチロール元アカウントの CloudTrail で検索します。
検索方法は以下の画像の通りで、フィルターでリソース名をキーにして、値を先ほど確認したアクセスキーにして検索します。
すると、該当するログだけがこのように表示されます。
この場合は、nasu ユーザが同時刻にスイッチロールして何かやっていたことがわかります。

 

さいごに

どんなに小さなことでも確認しないとわからないままになってしまうので、今回は細かいネタですが調べて書いてみました。
あとは、ちゃんと定期的に文章を書く習慣を取り戻そうと思いました。
すごく薄い情報ですが、ものすごくパワーを使いました…

 

上記がさらに簡単にできるようアップデートされました!

作業者の CLI の config ファイルに以下のように role_session_name を追加してもらうことで誰が作業したのかがパッと見てすぐわかるようになりました!
role_session_name = ユーザ名

新たに以下の記事を書きましたので、参考にしてください。

関連サービス:基幹クラウド/SAP BASIS運用保守

基幹クラウド/SAP BASIS運用保守

日々進化し続けるクラウドサービスを最大限に活用し、信頼性・柔軟性を兼ね備えた運用保守サービスを提供します。

詳細を見る

カテゴリ

タグ

BeeX Technical Blogについてのお問い合わせ

BeeX Technical Blogのエントリにご質問が御座いましたらお気軽にお問合せください。

お電話でのお問い合わせ

☎ 03-6260-6240

受付時間 平日9:30〜18:00

フォームでのお問い合わせ

お問い合わせフォーム