翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Verified Access ログ
が各アクセスリクエスト AWS Verified Access を評価すると、すべてのアクセス試行がログに記録されます。これにより、アプリケーションへのアクセスが一元的に視覚化され、セキュリティインシデントや監査リクエストに迅速に対応できます。Verified Access は、オープンサイバーセキュリティスキーマフレームワーク(OCSF)ロギング形式をサポートしています。
ロギングを有効にする場合は、ログの送信先を設定する必要があります。ロギングを正しく機能させるには、ロギング先の設定に使用される IAM プリンシパルに特定のアクセス許可が必要です。各ロギング先に必要な IAM アクセス権限は、[Verified Access のロギングのアクセス許可](access-logs-permissions.md) セクションで確認できます。Verified Access は、以下のアクセスログのパブリッシュ先をサポートします。
+ Amazon CloudWatch Logs ロググループ
+ Amazon S3 バケット
+ Amazon Data Firehose 配信ストリーム
**Topics**
+ [Verified Access のロギングバージョン](logging-versions.md)
+ [Verified Access のロギングのアクセス許可](access-logs-permissions.md)
+ [Verified Access ログの有効化または無効化](access-logs-enable.md)
+ [Verified Access 信頼コンテキストの有効化または無効化](include-trust-context.md)
+ [Verified Access の OCSF バージョン 0.1 ログの例](ocsfv01-examples.md)
+ [Verified Access の OCSF バージョン 1.0.0-rc.2 ログの例](ocsfv1-examples.md)
# Verified Access のロギングバージョン
デフォルトで、Verified Access ロギングシステムはオープンサイバーセキュリティスキーマフレームワーク(OCSF)バージョン 0.1 を使用します。バージョン 0.1 を使用するサンプルログについては、「」を参照してください[Verified Access の OCSF バージョン 0.1 ログの例](ocsfv01-examples.md)。
最新のロギングバージョンは OCSF バージョン 1.0.0-rc.2 と互換性があります。スキーマの詳細については、[「OCSF スキーマ](https://schema.ocsf.io/1.0.0-rc.2/classes/access_activity)」を参照してください。バージョン 1.0.0-rc.2 を使用するサンプルログについては、「」を参照してください[Verified Access の OCSF バージョン 1.0.0-rc.2 ログの例](ocsfv1-examples.md)。
Verified Access エンドポイントが TCP プロトコルを使用している場合、OCSF バージョン 0.1 を使用することはできません。
**コンソールを使用してロギングバージョンをアップグレードするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access インスタンス**] を選択します。
1. 適切な Verified Access インスタンスを選択します。
1. [**Verified Access インスタンスのロギング設定**] タブで、[**Verified Access インスタンスのロギング設定の変更**] を選択します。
1. 「**ログバージョンの更新**」ドロップダウンリストから **ocsf-1.0.0-rc.2** を選択します。
1. [** Verified Access インスタンスのロギング設定の変更**] を選択します。
**を使用してログ記録バージョンをアップグレードするには AWS CLI**
[[modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html)] コマンドを使用します。
# Verified Access のロギングのアクセス許可
ロギングを正しく機能させるには、ロギング先の設定に使用される IAM プリンシパルに特定のアクセス許可が必要です。各ロギング先に必要なアクセス許可を以下のセクションに示します。
**CloudWatch Logs への配信:**
+ Verified Access インスタンスの `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`
+ すべてのリソースの `logs:CreateLogDelivery`、`logs:DeleteLogDelivery`、`logs:GetLogDelivery`、`logs:ListLogDeliveries` および `logs:UpdateLogDelivery`
+ 送信先ロググループの `logs:DescribeLogGroups`、`logs:DescribeResourcePolicies` および `logs:PutResourcePolicy`
**Amazon S3 への配信:**
+ Verified Access インスタンスの `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`
+ すべてのリソースの `logs:CreateLogDelivery`、`logs:DeleteLogDelivery`、`logs:GetLogDelivery`、`logs:ListLogDeliveries` および `logs:UpdateLogDelivery`
+ 送信先バケットの `s3:GetBucketPolicy` および `s3:PutBucketPolicy`
**Firehose への配信:**
+ Verified Access インスタンスの `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`
+ すべてのリソースの `firehose:TagDeliveryStream`
+ すべてのリソースの `iam:CreateServiceLinkedRole`
+ すべてのリソースの `logs:CreateLogDelivery`、`logs:DeleteLogDelivery`、`logs:GetLogDelivery`、`logs:ListLogDeliveries` および `logs:UpdateLogDelivery`
# Verified Access ログの有効化または無効化
ロギングを有効または無効にするには、このセクションの手順に従います。ロギングを有効にする場合は、ログの送信先を設定する必要があります。ロギングを正しく機能させるには、ロギング先の設定に使用される IAM プリンシパルに特定のアクセス許可が必要です。各ロギング先に必要な IAM アクセス権限は、[Verified Access のロギングのアクセス許可](access-logs-permissions.md) セクションで確認できます。
**Topics**
+ [アクセスログの有効化](#enable-access-logs)
+ [アクセスログの無効化](#disable-access-logs)
## アクセスログの有効化
**Verified Access ログを有効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access インスタンス**] を選択します。
1. Verified Access インスタンスを選択します。
1. [**Verified Access インスタンスのロギング設定**] タブで、[**Verified Access インスタンスのロギング設定の変更**] を選択します。
1. (オプション) 信頼プロバイダーから送信されるトラストデータをログに含めるには、次の操作を行います。
1. 「**ログバージョンの更新**」ドロップダウンリストから **ocsf-1.0.0-rc.2** を選択します。
1. [**トラストコンテキストを含める**] を選択します。
1. 次のいずれかを行います。
+ [**Amazon CloudWatch Logs への配信**] をオンにします。送信先ロググループを選択します。
+ [**Amazon S3 に配信**] をオンにします。送信先バケットの名前、所有者、プレフィックスを入力します。
+ **[Firehose への配信]** をオンにします。送信先の配信ストリームを選択します。
1. [** Verified Access インスタンスのロギング設定の変更**] を選択します。
**を使用して Verified Access ログを有効にするには AWS CLI**
[modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html) コマンドを使用します。
## アクセスログの無効化
Verified Access インスタンスのアクセスログは、いつでも無効化できます。アクセスログを無効にした後は、削除するまでログデータはログ送信先に残ります。
**Verified Access ログを無効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access インスタンス**] を選択します。
1. Verified Access インスタンスを選択します。
1. [**Verified Access インスタンスのロギング設定**] タブで、[**Verified Access インスタンスのロギング設定の変更**] を選択します。
1. ログ配信をオフにします。
1. [** Verified Access インスタンスのロギング設定の変更**] を選択します。
**を使用して Verified Access ログを無効にするには AWS CLI**
[[modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html)] コマンドを使用します。
# Verified Access 信頼コンテキストの有効化または無効化
必要に応じて、信頼プロバイダーから送信された信頼コンテキストを Verified Access ログに含めることができます。これは、アプリケーションへのアクセスを許可または拒否するポリシーを定義するときに役立つ可能性があります。有効にすると、信頼コンテキストがログの `data` フィールドに含められます。信頼コンテキストが無効になっている場合、`data`フィールドは `null` に設定されます。信頼コンテキストをログに含めるように Verified Access を設定するには、以下の手順を実行します。
**注記**
Verified Access ログにトラストコンテキストを含めるには、最新のロギングバージョン `ocsf-1.0.0-rc.2` にアップグレードする必要があります。以下の手順は、ロギングが既に有効になっていることを前提としています。そうでない場合、手順の詳細については [アクセスログの有効化](access-logs-enable.md#enable-access-logs) を参照してください。
**Topics**
+ [トラストコンテキストを有効にする](#enable-trust-context)
+ [トラストコンテキストを無効にする](#disable-trust-context)
## トラストコンテキストを有効にする
**コンソールを使用して Verified Access ログにトラストコンテキストを含めるには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access インスタンス**] を選択します。
1. 適切な Verified Access インスタンスを選択します。
1. [**Verified Access インスタンスのロギング設定**] タブで、[**Verified Access インスタンスのロギング設定の変更**] を選択します。
1. 「**ログバージョンの更新**」ドロップダウンリストから [**ocsf-1.0.0-rc.2**] を選択します。
1. [**トラストコンテキストを含める**] をオンにします。
1. [** Verified Access インスタンスのロギング設定の変更**] を選択します。
**を使用して Verified Access ログに信頼コンテキストを含めるには AWS CLI**
[[modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html)] コマンドを使用します。
## トラストコンテキストを無効にする
信頼コンテキストをログに含める必要がなくなった場合は、次の手順に従って削除できます。
**コンソールを使用して Verified Access ログからトラストコンテキストを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access インスタンス**] を選択します。
1. 適切な Verified Access インスタンスを選択します。
1. [**Verified Access インスタンスのロギング設定**] タブで、[**Verified Access インスタンスのロギング設定の変更**] を選択します。
1. [**トラストコンテキストを含める**] をオフにします。
1. [** Verified Access インスタンスのロギング設定の変更**] を選択します。
**を使用して Verified Access ログから信頼コンテキストを削除するには AWS CLI**
[[modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html)] コマンドを使用します。
# Verified Access の OCSF バージョン 0.1 ログの例
OCSF バージョン 0.1 を使用したサンプルログを次に示します。
**Topics**
+ [OIDC によるアクセス許可](#access-granted-oidc)
+ [OIDC と JAMF によるアクセス許可](#access-granted-oidc-jamf)
+ [OIDC と CrowdStrike によるアクセス許可](#access-granted-oidc-crowdstrike)
+ [Cookie の欠落によるアクセスの拒否](#access-denied-cookie)
+ [ポリシーによるアクセス拒否](#access-denied-policy)
+ [不明なログエントリ](#unknown-access)
## OIDC によるアクセス許可
このログエントリの例では、Verified Access は OIDC ユーザトラストプロバイダーでエンドポイントへのアクセスを許可します。
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## OIDC と JAMF によるアクセス許可
このログエントリの例では、Verified Access は OIDC と JAMF の両方のデバイス信頼プロバイダーでエンドポイントへのアクセスを許可します。
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0,
"uid": "41b07859-4222-4f41-f3b9-97dc1EXAMPLE"
},
"duration": "0.347",
"end_time": "1668804944086",
"time": "1668804944086",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 304
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "oidc",
"uid": "vatp-9778003bc2EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "4f040d0f96becEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-321318ce-6100d340adf4fb29dEXAMPLE",
"logged_time": 1668805278555,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-18T20:55:44.086480Z",
"proxy": {
"ip": "10.5.192.96",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-3598f66575EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "192.168.20.246",
"port": 61769
},
"start_time": "1668804943739",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## OIDC と CrowdStrike によるアクセス許可
このログエントリの例では、Verified Access は、OIDC と CrowdStrike の両方のデバイス信頼プロバイダーでエンドポイントへのアクセスを許可します。
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.173.3",
"os": {
"name": "Windows 11",
"type": "Windows",
"type_id": 100
},
"type": "Unknown",
"type_id": 0,
"uid": "122978434f65093aee5dfbdc0EXAMPLE",
"hw_info": {
"serial_number": "751432a1-d504-fd5e-010d-5ed11EXAMPLE"
}
},
"duration": "0.028",
"end_time": "1668816620842",
"time": "1668816620842",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "test.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://test.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 304
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "oidc",
"uid": "vatp-506d9753f6EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "23bb45b16a389EXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-c16c5a65-b641e4056cc6cb0eeEXAMPLE",
"logged_time": 1668816977134,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-19T00:10:20.842295Z",
"proxy": {
"ip": "192.168.144.62",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-2f80f37e64EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.14.173.3",
"port": 55706
},
"start_time": "1668816620814",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Cookie の欠落によるアクセスの拒否
このログエントリの例では、認証 Cookie の欠落により Verified Access がアクセスを拒否します。
```
{
"activity": "Access Denied",
"activity_id": "2",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": null,
"duration": "0.0",
"end_time": "1668593568259",
"time": "1668593568259",
"http_request": {
"http_method": "POST",
"url": {
"hostname": "hello.app.example.com",
"path": "/dns-query",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/dns-query"
},
"user_agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML",
"version": "HTTP/2.0"
},
"http_response": {
"code": 302
},
"identity": null,
"message": "",
"metadata": {
"uid": "Root=1-5cf1c832-a565309ce20cc7dafEXAMPLE",
"logged_time": 1668593776720,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T10:12:48.259762Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-108ed7a672EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.7.178.16",
"port": "46246"
},
"start_time": "1668593568258",
"status_code": "200",
"status_details": "Authentication Denied",
"status_id": "2",
"status": "Failure",
"type_uid": "20800102",
"type_name": "AccessLogs: Access Denied",
"unmapped": null
}
```
## ポリシーによるアクセス拒否
このログエントリの例では、認証されたリクエストがアクセスポリシーで許可されていないため、Verified Access は認証されたリクエストを拒否します。
```
{
"activity": "Access Denied",
"activity_id": "2",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.4.133.137",
"type": "Unknown",
"type_id": 0
},
"duration": "0.023",
"end_time": "1668573630978",
"time": "1668573630978",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 401
},
"identity": {
"authorizations": [],
"idp": {
"name": "user",
"uid": "vatp-e048b3e0f8EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "0e1281ad3580aEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-531a036a-09e95794c7b96aefbEXAMPLE",
"logged_time": 1668573773753,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T04:40:30.978732Z",
"proxy": {
"ip": "3.223.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-021d5eaed2EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.4.133.137",
"port": "31746"
},
"start_time": "1668573630955",
"status_code": "300",
"status_details": "Authorization Denied",
"status_id": "2",
"status": "Failure",
"type_uid": "20800102",
"type_name": "AccessLogs: Access Denied",
"unmapped": null
}
```
## 不明なログエントリ
このログエントリの例では、Verified Access では完全なログエントリを生成できないため、不明なログエントリが出力されます。これにより、すべてのリクエストがアクセスログに表示されることが保証されます。
```
{
"activity": "Unknown",
"activity_id": "0",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": null,
"duration": "0.004",
"end_time": "1668580207898",
"time": "1668580207898",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"identity": null,
"message": "",
"metadata": {
"uid": "Root=1-435eb955-6b5a1d529343f5adaEXAMPLE",
"logged_time": 1668580579147,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:30:07.898344Z",
"proxy": {
"ip": "10.1.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-6c32b53b3cEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.28.57.68",
"port": "47220"
},
"start_time": "1668580207893",
"status_code": "000",
"status_details": "Unknown",
"status_id": "0",
"status": "Unknown",
"type_uid": "20800100",
"type_name": "AccessLogs: Unknown",
"unmapped": null
}
```
# Verified Access の OCSF バージョン 1.0.0-rc.2 ログの例
OCSF バージョン 1.0.0-rc.2 を使用したサンプルログを次に示します。
**Topics**
+ [トラストコンテキストを含むアクセス許可](#ocsfv1-with-trust)
+ [トラストコンテキストを省略したアクセス許可](#ocsfv1-without-trust)
+ [ネットワーク CIDR エンドポイントで権限を割り当てる](#ocsfv1-with-tcp)
## トラストコンテキストを含むアクセス許可
```
{
"activity_name": "Access Grant",
"activity_id": "1",
"actor": {
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"invoked_by": "",
"process": {},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
},
"session": {}
},
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Access Activity",
"class_uid": "3006",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_detail": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "300601",
"type_name": "Access Activity: Access Grant",
"data": {
"context": {
"oidc": {
"family_name": "Last",
"zoneinfo": "America/Los_Angeles",
"exp": 1670631145,
"middle_name": "Middle",
"given_name": "First",
"email_verified": true,
"name": "Test User Display",
"updated_at": 1666305953,
"preferred_username": "johndoe-user@test.com",
"profile": "http://www.example.com",
"locale": "US",
"nickname": "Tester",
"email": "johndoe-user@test.com",
"additional_user_context": {
"aud": "xxx",
"exp": 1000000000,
"groups": [
"group-id-1",
"group-id-2"
],
"iat": 1000000000,
"iss": "https://oidc-tp.com/",
"sub": "xyzsubject",
"ver": "1.0"
}
},
"http_request": {
"x_forwarded_for": "1.1.1.1,2.2.2.2",
"http_method": "GET",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"port": "80",
"hostname": "hostname.net"
}
}
}
}
```
## トラストコンテキストを省略したアクセス許可
```
{
"activity_name": "Access Grant",
"activity_id": "1",
"actor": {
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"invoked_by": "",
"process": {},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
},
"session": {}
},
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Access Activity",
"class_uid": "3006",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_detail": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "300601",
"type_name": "Access Activity: Access Grant",
"data": null
}
```
## ネットワーク CIDR エンドポイントで権限を割り当てる
```
{
"activity_id": "1",
"activity_name": "Assign Privileges",
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Authorization",
"class_uid": "3003",
"data": {
"endpoint_type": "cidr",
"protocol": "tcp",
"access_path": "public",
"idp": {
"name": "my-oidc-instance",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"context": {
"oidc": {
"family_name": "Last",
"zoneinfo": "America/Los_Angeles",
"exp": 1670631145,
"middle_name": "Middle",
"given_name": "First",
"email_verified": true,
"name": "Test User Display",
"updated_at": 1666305953,
"preferred_username": "johndoe-user@test.com",
"profile": "http://www.example.com",
"locale": "US",
"nickname": "Tester",
"email": "johndoe-user@test.com",
"additional_user_context": {
"aud": "xxx",
"exp": 1000000000,
"groups": [
"group-id-1",
"group-id-2"
],
"iat": 1000000000,
"iss": "https://oidc-tp.com/",
"sub": "xyzsubject",
"ver": "1.0"
}
},
"tcp_flow": {
"destination_ip": "10.0.0.1",
"destination_port": 22,
"client_ip": "10.2.7.68"
}
}
},
"device": {
"ip": "10.2.7.68",
"port": 1002,
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"metadata": {
"uid": "",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"severity": "Informational",
"severity_id": "1",
"start_time": "1668580194340",
"status_code": "200",
"status_id": "1",
"status": "Success",
"type_uid": "300301",
"type_name": "Authorization: Assign Privileges",
"count": 1,
"dst_endpoint": {
"ip": "107.22.231.155",
"port": 22
},
"privileges": [
"vae-12345cbce2EXAMPLE"
],
"user": {
"email_addr": "johndoe-user@test.com",
"uid": "johndoe-user",
"uuid": "9bcce02a-fc15-4091-a0b7-874d157c67b8"
}
}
```