目次
約 1 ヶ月ぶりに記事を書きました。那須です。
久々に記事を書くとうまく文章を書けない経験があるので、今日はあまり無理せず気になっていたことを調べた結果をご紹介します。
もしお客様からログイン確認の問い合わせがあったら…
ある日、お客様からこんな連絡があったとします。
「2020-03-03 10:25:18 PM に誰かスイッチロールして何かしてるっぽいですけどこれ御社のメンバーでしょうか?
不正アクセスとかだったら怖いのでちょっと確認してほしいのですが…」
さあどうでしょうか?
普段から AWS CLI で運用していて監査等でも問題ない環境だったら即答できると思いますが、普段の運用が Web の管理コンソールだった場合はピンとこないんじゃないでしょうか?
管理コンソールで作業した場合、スイッチロールすると ARN が arn:aws:sts::111111111111:assumed-role/RoleName/IAMUserName の形で CloudTrail のログに記録されるのですぐわかりますね。
AWS CLI だと、ARN は arn:aws:sts::111111111111:assumed-role/RoleName/botocore-session-1234567890 の形でCloudTrail のログに記録されます。
これでは誰だかまったくわかりません。
JSON のログは長いので、今回は CloudTrail で見れる画面のキャプチャがお客様から送られてきたことにしましょう。
↓こんな画面です。
実際に作業していた人の PowerShell 画面、もしくはターミナルの画面にはこのように出ていますので、自分でもなんだかよくわかりません。
どうやって調べるか?
いくつか調べ方はあるのですが、一番簡単なのが一時クレデンシャルのアクセスキーで検索する方法です。
スイッチロール先アカウントの CloudTrail ログをもらったら、AWS アクセスキー の箇所を見ましょう。
アクセスキーっぽい文字列があるはずです。
そのアクセスキーを、スイッチロール元アカウントの CloudTrail で検索します。
検索方法は以下の画像の通りで、フィルターでリソース名をキーにして、値を先ほど確認したアクセスキーにして検索します。
すると、該当するログだけがこのように表示されます。
この場合は、nasu ユーザが同時刻にスイッチロールして何かやっていたことがわかります。
さいごに
どんなに小さなことでも確認しないとわからないままになってしまうので、今回は細かいネタですが調べて書いてみました。
あとは、ちゃんと定期的に文章を書く習慣を取り戻そうと思いました。
すごく薄い情報ですが、ものすごくパワーを使いました…
上記がさらに簡単にできるようアップデートされました!
https://www.beex-inc.com/blog/add_role_session_name
- カテゴリー
この記事をシェアする
![[re:Invent 2023 レポート] SAPシステムのレジリエンスを高めるためにやったこと](/media/thDCkaLG0hn0kLHqnJyRuFBX8BiKanmJIsLTO5Ik.jpeg)
