翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center の CloudTrail ユースケース
IAM アイデンティティセンターが発行する CloudTrail イベントは、さまざまなユースケースで役立ちます。組織は、これらのイベントログを使用して、 AWS 環境内のユーザーアクセスとアクティビティをモニタリングおよび監査できます。これにより、ログは誰がいつどのリソースにアクセスするかの詳細をキャプチャするため、コンプライアンスのユースケースに役立ちます。CloudTrail データをインシデント調査に使用して、チームがユーザーのアクションを分析し、疑わしい動作を追跡できるようにすることもできます。さらに、イベント履歴はトラブルシューティング作業をサポートし、時間の経過とともにユーザーのアクセス許可と設定に加えられた変更を可視化できます。
以下のセクションでは、監査、インシデント調査、トラブルシューティングなどのワークフローに役立つ基本的なユースケースについて説明します。
IAM Identity Center のユーザーが開始した CloudTrail イベントでのユーザーとセッションの特定
IAM Identity Center は、IAM Identity Center へのサインインや、MFA デバイスの管理を含む AWS アクセスポータルの使用など AWS CLI、CloudTrail イベントの背後にある IAM Identity Center ユーザーを識別できる 2 つの CloudTrail CloudTrail フィールドを出力します。
-
userId– IAM Identity Center インスタンスの Identity Store からの一意でイミュータブルなユーザー識別子。 -
identityStoreArn– ユーザーを含む Identity Store の Amazon リソースネーム (ARN)。
userID および identityStoreArnフィールドは、次の例に示すように、 onBehalfOf 要素内にネストされた userIdentity要素に表示されます。この例では、userIdentityタイプが「」であるイベントで、これら 2 つのフィールドを示していますIdentityCenterUser。userIdentity タイプが「」である認証済み IAM Identity Center ユーザーのイベントにこれらのフィールドを含めることもできますUnknown。ワークフローは両方の型値を受け入れる必要があります。
"userIdentity":{ "type":"IdentityCenterUser", "accountId":"111122223333", "onBehalfOf": { "userId": "544894e8-80c1-707f-60e3-3ba6510dfac1", "identityStoreArn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" }, "credentialId" : "90e292de-5eb8-446e-9602-90f7c45044f7" }
注記
IAM Identity Center CloudTrail イベントの背後にあるユーザーを特定するidentityStoreArnには、 userIdと を使用することをお勧めします。サインインして AWS アクセスポータルを使用している IAM Identity Center ユーザーのアクションを追跡するときは、 フィールドuserNameまたは userIdentity要素principalIdの下に フィールドを使用しないでください。監査やインシデント対応などのワークフローが へのアクセスに依存している場合はusername、次の 2 つのオプションがあります。
-
「」の説明に従って、IAM Identity Center ディレクトリからユーザー名を取得しますサインイン CloudTrail イベントのユーザー名。
-
IAM Identity Center が発行
UserNameする をサインインのadditionalEventData要素で取得します。このオプションは、IAM Identity Center ディレクトリへのアクセスを必要としません。詳細については、「サインイン CloudTrail イベントのユーザー名」を参照してください。
username フィールドを含むユーザーの詳細を取得するには、ユーザー ID と Identity Store ID をパラメータとして Identity Store にクエリを実行します。このアクションは、DescribeUserAPI リクエストまたは CLI を使用して実行できます。CLI コマンドの例を次に示します。IAM Identity Center インスタンスが CLI のデフォルトリージョンにある場合は、 regionパラメータを省略できます。
aws identitystore describe-user \ --identity-store-id d-1234567890 \ --user-id 544894e8-80c1-707f-60e3-3ba6510dfac1 \ --regionyour-region-id
前の例の CLI コマンドの Identity Store ID 値を決定するには、 identityStoreArn値から Identity Store ID を抽出します。ARN の例ではarn:aws:identitystore::111122223333:identitystore/d-1234567890、Identity Store ID は ですd-1234567890。または、IAM Identity Center コンソールの設定セクションの Identity Store タブに移動して、Identity Store ID を見つけることもできます。
IAM Identity Center ディレクトリ内のユーザーの検索を自動化する場合は、ユーザー検索の頻度を見積もり、Identity Store API の IAM Identity Center スロットル制限を検討することをお勧めします。取得したユーザー属性をキャッシュすると、スロットル制限内に収まるようになります。
credentialId 値は、アクションのリクエストに使用される IAM Identity Center ユーザーのセッションの ID に設定されます。この値を使用して、サインインイベントを除き、同じ認証済み IAM Identity Center ユーザーセッション内で開始された CloudTrail イベントを識別できます。
注記
サインインイベントで出力される AuthWorkflowIDフィールドを使用すると、IAM Identity Center ユーザーセッションを開始する前に、サインインシーケンスに関連付けられたすべての CloudTrail イベントを追跡できます。
IAM Identity Center と外部ディレクトリ間のユーザーの関連付け
IAM Identity Center には、ディレクトリ内のユーザーを外部ディレクトリ内の同じユーザー ( Microsoft Active Directoryや など) に関連付けるために使用できる 2 つのユーザー属性が用意されていますOkta Universal Directory。
-
externalId– IAM Identity Center ユーザーの外部識別子。この識別子は、外部ディレクトリのイミュータブルなユーザー識別子にマッピングすることをお勧めします。IAM Identity Center は CloudTrail でこの値を出力しないことに注意してください。 -
username– ユーザーが通常サインインする、お客様が指定した値。値は変更できます (SCIM 更新など)。ID ソースが の場合 AWS Directory Service、CloudTrail で IAM Identity Center が発行するユーザー名は、認証のために入力したユーザー名と一致することに注意してください。ユーザー名は、IAM Identity Center ディレクトリのユーザー名と完全に一致する必要はありません。CloudTrail イベントにアクセスできるが、IAM Identity Center ディレクトリにはアクセスできない場合は、サインイン時に
additionalEventData要素の下に出力されるユーザー名を使用できます。のユーザー名の詳細についてはadditionalEventData、「」を参照してくださいサインイン CloudTrail イベントのユーザー名。
これら 2 つのユーザー属性と外部ディレクトリ内の対応するユーザー属性のマッピングは、アイデンティティソースが の場合に IAM アイデンティティセンターで定義されます AWS Directory Service。情報については、「」を参照してくださいIAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング。SCIM を使用してユーザーをプロビジョニングする外部 IdPs には、独自のマッピングがあります。ID ソースとして IAM Identity Center ディレクトリを使用している場合でも、 externalId 属性を使用してセキュリティプリンシパルを外部ディレクトリに相互参照できます。
次のセクションでは、ユーザーの usernameと を指定して IAM Identity Center ユーザーを検索する方法について説明しますexternalId。
ユーザー名と externalId による IAM Identity Center ユーザーの表示
前の例に示すように、最初に GetUserId API リクエストuserIdを使用して対応する をリクエストし、DescribeUserAPI リクエストを発行することで、既知のユーザー名のユーザー属性を IAM Identity Center ディレクトリから取得できます。次の例は、特定のユーザー名の を Identity Store userIdから取得する方法を示しています。IAM Identity Center インスタンスが CLI のデフォルトリージョンにある場合は、 regionパラメータを省略できます。
aws identitystore get-user-id \ --identity-store d-9876543210 \ --alternate-identifier '{ "UniqueAttribute": { "AttributePath": "username", "AttributeValue": "anyuser@example.com" } }' \ --region your-region-id
同様に、 がわかっている場合も、同じメカニズムを使用できますexternalId。前の例の属性パスを externalId値で更新し、属性値を検索externalId対象の特定の で更新します。
Microsoft Active Directory (AD) と externalId でのユーザーの Secure Identifier (SID) の表示
場合によっては、IAM Identity Center は、 AWS アクセスポータルや OIDC API が出力するイベントなど、CloudTrail イベントの principalId フィールドでユーザーの SID を出力します。 APIs これらのケースは段階的に廃止されています。AD から一意のユーザー識別子が必要な場合は、ワークフローobjectguidで AD 属性を使用することをお勧めします。この値は、IAM Identity Center ディレクトリの externalId 属性にあります。ただし、ワークフローで SID を使用する必要がある場合は、IAM Identity Center APIs では使用できないため、AD から値を取得します。
IAM Identity Center と外部ディレクトリ間のユーザーの関連付け では、 フィールドexternalIdと usernameフィールドを使用して、IAM Identity Center ユーザーと外部ディレクトリ内の一致するユーザーを関連付ける方法について説明します。デフォルトでは、IAM Identity Center は AD の objectguid 属性externalIdにマッピングされ、このマッピングは修正されています。IAM Identity Center を使用すると、管理者は AD userprincipalnameの へのデフォルトのマッピングusernameとは異なる方法で柔軟にマッピングできます。
これらのマッピングは、IAM Identity Center コンソールで表示できます。設定の ID ソースタブに移動し、アクションメニューで同期の管理を選択します。同期の管理セクションで、属性マッピングの表示ボタンを選択します。
IAM Identity Center で使用可能な一意の AD ユーザー識別子を使用して AD のユーザーを検索できますが、変更不可能な識別子であるため、クエリobjectguidで を使用することをお勧めします。次の例は、Powershell で Microsoft AD をクエリして、ユーザーの objectguid の値を使用してユーザーを取得する方法を示しています16809ecc-7225-4c20-ad98-30094aefdbca。このクエリへの正常なレスポンスには、ユーザーの SID が含まれます。
Install-WindowsFeature -Name RSAT-AD-PowerShell Get-ADUser ` -Filter {objectGUID -eq [GUID]::Parse("16809ecc-7225-4c20-ad98-30094aefdbca")} ` -Properties *
