# AWS CloudTrail による IAM および AWS STS の API コールのログ記録
IAM および AWS STS は AWS CloudTrail と統合されています。このサービスは、IAM ユーザーやロールのサービスによって実行されたアクションを記録するサービスです。CloudTrail は、コンソールからの呼び出しや API 呼び出しを含む、IAM と AWS STS のすべての API 呼び出しをイベントとしてキャプチャします。証跡を作成する場合は、 のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます 証跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを表示できます。CloudTrail を使用して、IAM または AWS STS に対して行われたリクエストに関する情報を取得できます。たとえば、リクエストの実行元 IP アドレス、実行者、実行日時、およびその他の詳細を表示できます。
CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。
**Topics**
+ [CloudTrail での IAM および AWS STS 情報](#iam-info-in-cloudtrail)
+ [IAM および AWS STS API リクエストのログ記録](#cloudtrail-integration_apis)
+ [他の AWS のサービスへの API リクエストのログ記録](#cloudtrail-integration_api-other-services)
+ [ユーザーサインインイベントのログ記録](#cloudtrail-integration_signin-users)
+ [一時的な認証情報のサインインイベントのログ記録](#cloudtrail-integration_signin-tempcreds)
+ [CloudTrail ログの IAM API イベントの例](#cloudtrail-integration_examples-iam-api)
+ [例 AWS STS CloudTrail ログの API イベント](#cloudtrail-integration_examples-sts-api)
+ [CloudTrail ログのサインインイベントの例](#cloudtrail-integration_examples-signin)
+ [IAM ロールの信頼ポリシーの動作](#cloudtrail-integration_role-trust-behavior)
## CloudTrail での IAM および AWS STS 情報
CloudTrail は、AWS アカウント を作成すると、その中で有効になります。IAM または AWS STS でアクティビティが発生すると、そのアクティビティは [**Event history**] (イベント履歴) で AWS のその他のサービスのイベントと共に CloudTrail イベントに記録されます。最近のイベントは、AWS アカウント で表示、検索、ダウンロードできます。詳細については、「[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。
IAM や AWS STS のイベントなど、AWS アカウント のイベントの継続的な記録については、証跡を作成します。[Trail] (追跡) により、CloudTrail はログファイルを Simple Storage Service (Amazon S3) バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、すべての リージョンに証跡が適用されます。証跡は、AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。詳細については、次を参照してください。
+ [証跡を作成するための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートするサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail 用 Amazon SNS 通知の構成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [複数のリージョンから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)および[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
すべての IAM およびAWS STSアクションは CloudTrail によってログに記録されます。これらのアクションについては、[IAM API リファレンス](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html)と[AWS Security Token ServiceAPI リファレンス](https://docs.aws.amazon.com/STS/latest/APIReference/API_Operations.html)。
## IAM および AWS STS API リクエストのログ記録
CloudTrail は、認証されたすべての API リクエストを IAM および AWS STS API オペレーションにログ記録します。CloudTrail は、認証されていないリクエストを AWS STS アクション、`AssumeRoleWithSAML` および `AssumeRoleWithWebIdentity` に記録し、ID プロバイダーから提供された情報も記録します。ただし、認証されていない AWS STS リクエストの中には、正当なリクエストとして信頼されるほど十分に有効であるという最低限の要求を満たしていないため、ログに記録されないものもあります。クロスアカウントロールの引き受けリクエストの場合、CloudTrail はターゲットアカウントの CloudTrail に拒否された AWS STS リクエストを記録しません。
ログ記録された情報を使用し、引き受けたロールを持つ OIDC または SAML フェデレーティッドプリンシパルによる呼び出しを外部フェデレーション呼び出し元にマッピングできます。`AssumeRole` の場合、呼び出しをその元の AWS サービスまたはユーザーのアカウントに再度マッピングすることができます。CloudTrail ログエントリの JSON データの `userIdentity` セクションには、AssumeRole\$1 リクエストを特定のセッションプリンシパルにマッピングするために必要な情報が含まれています。詳細については、「AWS CloudTrail ユーザーガイド」の「[CloudTrail userIdentity Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。
IAM ユーザーが MFA でサインインするとき、AWS CloudTrail ログには MFA 情報が含まれます。IAM ユーザーが IAM ロールを引き受けると、CloudTrail は引き受けたロールを使用して実行されたアクションの `sessionContext` 属性も `mfaAuthenticated: true` をログに記録します。ただし、CloudTrail ログ記録は、引き受けたロールの認証情報を使用して API コールが行われたときに IAM で必要になるものとは異なります。詳細については、「[CloudTrail userIdentity 要素](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。
たとえば、IAM `CreateUser`、`DeleteRole`、`ListGroups`、およびその他の API オペレーションに対する呼び出しはすべて、CloudTrail によってログに記録されます。
このタイプのログエントリの例については、このトピックの後半で説明します。
## 他の AWS のサービスへの API リクエストのログ記録
他の AWS のサービス API オペレーションに対する認証されたリクエストは CloudTrail によってログに記録され、そのログエントリにはリクエストの生成元に関する情報が含まれます。
たとえば、Amazon EC2 インスタンスの一覧表示または AWS CodeDeploy のデプロイグループの作成をリクエストしたとします。リクエストを行ったユーザーまたはサービスに関する詳細は、そのリクエストのログエントリに含まれています。この情報は、リクエストが AWS アカウントのルートユーザー、IAM ユーザー、ロール、または別の AWS サービスのいずれによって行われたかを判断するのに役立ちます。
CloudTrail ログエントリのユーザー ID 情報の詳細については、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/event_reference_user_identity.html)の「*userIdentity 要素*」を参照してください。
## ユーザーサインインイベントのログ記録
CloudTrail は、サインインイベントを AWS マネジメントコンソール、AWS CLI や SDK などローカルの開発ツール、AWS のディスカッションフォーラム、AWS Marketplace に記録します。CloudTrail は、IAM ユーザー、SAML および OIDC フェデレーティッドプリンシパル、AWS STS フェデレーションユーザーのプリンシパルによるサインイン試行の成功および失敗を記録します。
rootユーザーのサインインが成功した場合と失敗した場合のサンプルCloudTrailイベントを表示するには、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html#cloudtrail-event-reference-aws-console-sign-in-events-root)の「*ルートユーザーのイベントレコードの例*」を参照してください。
セキュリティのベストプラクティスとして、AWS は、サインインの失敗した原因が間違ったユーザー名である場合、入力された IAM ユーザー名テキストをログに記録しません。ユーザー名テキストは、`HIDDEN_DUE_TO_SECURITY_REASONS` という値によってマスクされます。この例として、このトピックの「[間違ったユーザー名が原因で発生したサインイン失敗イベントの例](#hiddensecurity)」を参照してください。失敗の原因がユーザーエラーであるため、ユーザー名のテキストが隠れています。これらのエラーを記録すると、機密性の高い情報が公開される可能性があります。例:。
+ 誤ってユーザー名ボックスにパスワードを入力した。
+ ある AWS アカウント のサインインページのリンクを選択したが、別の AWS アカウント のアカウント番号を入力した。
+ どのアカウントにサインインしているのかを忘れて、誤って個人メールのアカウント名や銀行のサインイン ID などのプライベート ID を入力した。
## 一時的な認証情報のサインインイベントのログ記録
プリンシパルが一時的な認証情報をリクエストすると、プリンシパルタイプによって CloudTrail がイベントをログに記録する方法が決まります。これは、プリンシパルが別のアカウントのロールを引き受ける場合に複雑になる可能性があります。ロールのクロスアカウントオペレーションに関連するオペレーションを実行するために、複数の API コールがあります。まず、プリンシパルは AWS STS API を呼び出して一時的な認証情報を取得します。このオペレーションは、呼び出し元のアカウントと AWS STS オペレーションが実行されたアカウントに記録されます。次に、プリンシパルはロールを使用して、引き受けたロールのアカウントで他の API コールを実行します。
ロール信頼ポリシーで `sts:SourceIdentity` 条件キーを使用すると、ユーザーがロールを引き受けるときに ID を指定するように要求できます。例えば、IAM ユーザーがセッション名として自分のユーザー名を指定するように要求できます。これにより、AWS の特定のアクションを実行したユーザーを特定できます。詳細については、「[`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity)」を参照してください。[`sts:RoleSessionName`](reference_policies_iam-condition-keys.md#ck_rolesessionname) を使用して、ユーザーが役割を引き受けるときにセッション名を指定するようにユーザーに要求することもできます。これは、AWS CloudTrail ログを確認するときに異なるプリンシパルによって使用されるロールのロールセッションを区別するのに役立ちます。
次の表は、一時認証情報を生成する各 AWS STS API に対するさまざまなユーザー ID 情報を CloudTrail がどのようにログに記録しているかを示しています。
****
| プリンシパルタイプ | STS API | 呼び出し元アカウントの CloudTrail ログ内のユーザー ID | 割り当てられたロールのアカウントの CloudTrail ログのユーザー ID | ロールの後続の API コールの CloudTrail ログ内のユーザー ID |
| --- | --- | --- | --- | --- |
| AWS アカウントのルートユーザー 認証情報 | GetSessionToken | ルートユーザー ID | ロール所有者アカウントと呼び出し元アカウントが同じ | ルートユーザー ID |
| AWS アカウントのルートユーザー 認証情報 | AssumeRoot | ルートユーザーセッション | アカウント番号とプリンシパル ID (ユーザーの場合) | ルートユーザーセッション |
| IAM ユーザー | GetSessionToken | IAM ユーザーアイデンティティ | ロール所有者アカウントと呼び出し元アカウントが同じ | IAM ユーザーアイデンティティ |
| IAM ユーザー | GetFederationToken | IAM ユーザーアイデンティティ | ロール所有者アカウントと呼び出し元アカウントが同じ | IAM ユーザーアイデンティティ |
| IAM ユーザー | AssumeRole | IAM ユーザーアイデンティティ | アカウント番号およびプリンシパル ID (ユーザーの場合)、または AWS サービスプリンシパル | ロール ID のみ (ユーザーの記録はしない) |
| 外部で認証されたユーザー | AssumeRoleWithSAML | 該当なし | SAML ユーザー ID | ロール ID のみ (ユーザーの記録はしない) |
| 外部で認証されたユーザー | AssumeRoleWithWebIdentity | 該当なし | OIDC/Web のユーザー ID | ロール ID のみ (ユーザーの記録はしない) |
アクションがリソースに変更を加える効果がない場合、そのアクションは CloudTrail で読み取り専用と見なされます。読み取り専用イベントをログに記録すると、CloudTrail はログに含まれる `responseElements` 情報を編集します。読み取り専用ではないイベントが CloudTrail によってログに記録されると、完全な `responseElements` がログエントリに表示されます。AWS STS API の `AssumeRole`、`AssumeRoleWithSAML`、`AssumeRoleWithWebIdentity` の場合、読み取り専用としてログに記録されますが、CloudTrail は、これらの API のログに `secretAccessKey` を除く完全な `responseElements` を含めます。
次の表は、一時認証情報を生成する各 AWS STS API に対する `responseElements` と `readOnly` の情報を CloudTrail がどのようにログに記録しているかを示しています。
****
| STS API | レスポンス要素情報 | [Read-only] |
| --- | --- | --- |
| AssumeRole | 含まれる | true |
| AssumeRoleWithSAML | 含まれる | true |
| AssumeRoleWithWebIdentity | 含まれる | true |
| AssumeRoot | 含まれる | false |
| GetFederationToken | 含まれる | false |
| GetSessionToken | 含まれる | false |
## CloudTrail ログの IAM API イベントの例
CloudTrail ログファイルには、イベントが JSON 形式で書き込まれます。API イベントは 1 つの API リクエストを表すものであり、プリンシパル、リクエストされたアクション、すべてのパラメータ、およびアクションの日時に関する情報が含まれます。
### CloudTrail ログファイルの IAM API イベントの例
次の例は、IAM の `GetUserPolicy` アクションに対するリクエストの CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.16.96 Python/2.7.8 Linux/10 botocore/1.12.86",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePoliccyName"
},
"responseElements": null,
"requestID": "9EXAMPLE-0c68-11e4-a24e-d5e16EXAMPLE",
"eventID": "cEXAMPLE-127e-4632-980d-505a4EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "iam.amazonaws.com"
}
}
```
このイベント情報から、このリクエストは、`ReadOnlyAccess-JaneDoe-201407151307` 要素で指定された、ユーザー `JaneDoe` の `requestParameters` というユーザーポリシーを取得するために送信されたことを確認できます。また、このリクエストは、`JaneDoe` という IAM ユーザーによって 2014 年 7 月 15 日の午後 9 時 40 分 (UTC) に送信されたことも確認できます。この例では、`userAgent` 要素から、このリクエストの実行元は AWS マネジメントコンソール であることがわかります。
## 例 AWS STS CloudTrail ログの API イベント
CloudTrail ログファイルには、イベントが JSON 形式で書き込まれます。API イベントは 1 つの API リクエストを表すものであり、プリンシパル、リクエストされたアクション、すべてのパラメータ、およびアクションの日時に関する情報が含まれます。
### CloudTrail ログファイル内のクロスアカウント AWS STS API イベントの例
アカウント 777788889999 の `John` という名前の IAM ユーザーは、AWS STS [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) アクションを呼び出して、アカウント 111122223333 のロール `EC2-dev` を引き受けます。アカウント管理者は、ロールを引き受けるときに、ユーザ名と同じソース ID を設定することをユーザーに要求します。ユーザーは `John` のソースID値を渡します。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAQRSTUVWXYZEXAMPLE",
"arn": "arn:aws:iam::777788889999:user/John",
"accountId": "777788889999",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "John"
},
"eventTime": "2014-07-18T15:07:39Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/EC2-dev",
"roleSessionName": "John-EC2-dev",
"sourceIdentity": "John",
"serialNumber": "arn:aws:iam::777788889999:mfa"
},
"responseElements": {
"credentials": {
"sessionToken": "",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Jul 18, 2023, 4:07:39 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AIDAQRSTUVWXYZEXAMPLE:John-EC2-dev",
"arn": "arn:aws:sts::111122223333:assumed-role/EC2-dev/John-EC2-dev"
},
"sourceIdentity": "John"
},
"resources": [
{
"ARN": "arn:aws:iam::111122223333:role/EC2-dev",
"accountId": "111122223333",
"type": "AWS::IAM::Role"
}
],
"requestID": "4EXAMPLE-0e8d-11e4-96e4-e55c0EXAMPLE",
"sharedEventID": "bEXAMPLE-efea-4a70-b951-19a88EXAMPLE",
"eventID": "dEXAMPLE-ac7f-466c-a608-4ac8dEXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
2 番目の例は、同じリクエストを行ったロールアカウント (111122223333) の CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AIDAQRSTUVWXYZEXAMPLE",
"accountId": "777788889999"
},
"eventTime": "2014-07-18T15:07:39Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/EC2-dev",
"roleSessionName": "John-EC2-dev",
"sourceIdentity": "John",
"serialNumber": "arn:aws:iam::777788889999:mfa"
},
"responseElements": {
"credentials": {
"sessionToken": "",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Jul 18, 2014, 4:07:39 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AIDAQRSTUVWXYZEXAMPLE:John-EC2-dev",
"arn": "arn:aws:sts::111122223333:assumed-role/EC2-dev/John-EC2-dev"
},
"sourceIdentity": "John"
},
"requestID": "4EXAMPLE-0e8d-11e4-96e4-e55c0EXAMPLE",
"sharedEventID": "bEXAMPLE-efea-4a70-b951-19a88EXAMPLE",
"eventID": "dEXAMPLE-ac7f-466c-a608-4ac8dEXAMPLE"
}
```
### CloudTrail ログファイル内の AWS STS ロール連鎖 API イベントの例
次の例は、アカウント 111111111111 で John Doe によって行われたリクエストの CloudTrail ログエントリを示しています。John は以前、`JohnRole1` ロールを引き受けるために `John` ユーザーを使用していました。このリクエストでは、その `JohnRole2` ロールの認証情報を使用してロールを引き受けます。これは、[ロールの連鎖](id_roles.md#iam-term-role-chaining)と呼ばれます。彼が `John1` ロールを引き受けたときに設定したソースIDは、`JohnRole2` を引き受ける要求に存続します。ロールを引き受けるときに John が別のソース ID を設定しようとすると、要求は拒否されます。John は 2 つの [セッションタグ](id_session-tags.md) をリクエストに渡します。彼はこれらの 2 つのタグを推移的に設定します。ジョンが `JohnRole1` を引き受けたときに推移的として設定したため、リクエストは `Department` タグを推移的として継承します。ソース ID の詳細については、[引き受けたロールで実行されるアクションのモニタリングと制御](id_credentials_temp_control-access_monitor.md) を参照してください。ロールチェーン内の推移的キーの詳細については、「[セッションタグを使用したロールの連鎖](id_session-tags.md#id_session-tags_role-chaining)」を参照してください。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIN5ATK5U7KEXAMPLE:JohnRole1",
"arn": "arn:aws:sts::111111111111:assumed-role/John/JohnRole1",
"accountId": "111111111111",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-10-02T21:50:54Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIN5ATK5U7KEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/JohnRole1",
"accountId": "111111111111",
"userName": "John"
},
"sourceIdentity": "John"
}
},
"eventTime": "2019-10-02T22:12:29Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-2",
"sourceIPAddress": "123.145.67.89",
"userAgent": "aws-cli/1.16.248 Python/3.4.7 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 botocore/1.12.239",
"requestParameters": {
"incomingTransitiveTags": {
"Department": "Engineering"
},
"tags": [
{
"value": "johndoe@example.com",
"key": "Email"
},
{
"value": "12345",
"key": "CostCenter"
}
],
"roleArn": "arn:aws:iam::111111111111:role/JohnRole2",
"roleSessionName": "Role2WithTags",
"sourceIdentity": "John",
"transitiveTagKeys": [
"Email",
"CostCenter"
],
"durationSeconds": 3600
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"expiration": "Oct 2, 2019, 11:12:29 PM",
"sessionToken": "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"
},
"assumedRoleUser": {
"assumedRoleId": "AROAIFR7WHDTSOYQYHFUE:Role2WithTags",
"arn": "arn:aws:sts::111111111111:assumed-role/test-role/Role2WithTags"
},
"sourceIdentity": "John"
},
"requestID": "b96b0e4e-e561-11e9-8b3f-7b396EXAMPLE",
"eventID": "1917948f-3042-46ec-98e2-62865EXAMPLE",
"resources": [
{
"ARN": "arn:aws:iam::111111111111:role/JohnRole2",
"accountId": "111111111111",
"type": "AWS::IAM::Role"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### CloudTrail ログファイルの AWS のサービス AWS STS API イベントの例
次の例は、サービスロールのアクセス許可を使用して別のサービス API を呼び出す AWS のサービスによって行われたリクエストの CloudTrail ログエントリを示しています。アカウント 777788889999 で行われたリクエストの CloudTrail ログエントリが表示されます。
```
{
"eventVersion": "1.04",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAQRSTUVWXYZEXAMPLE:devdsk",
"arn": "arn:aws:sts::777788889999:assumed-role/AssumeNothing/devdsk",
"accountId": "777788889999",
"accessKeyId": "ASIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2016-11-14T17:25:26Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAQRSTUVWXYZEXAMPLE",
"arn": "arn:aws:iam::777788889999:role/AssumeNothing",
"accountId": "777788889999",
"userName": "AssumeNothing"
}
}
},
"eventTime": "2016-11-14T17:25:45Z",
"eventSource": "s3.amazonaws.com",
"eventName": "DeleteBucket",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.1",
"userAgent": "[aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67]",
"requestParameters": {
"bucketName": "amzn-s3-demo-bucket"
},
"responseElements": null,
"requestID": "EXAMPLE463D56D4C",
"eventID": "dEXAMPLE-265a-41e0-9352-4401bEXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "777788889999"
}
```
### CloudTrail ログファイル内の SAML AWS STS API イベントの例
以下の例は、AWS STS [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) アクションに対するリクエストの CloudTrail ログエントリを示しています。リクエストには SAML アサーションを介して[セッションタグ](id_session-tags.md)として渡される SAML 属性 `CostCenter` と `Project` が含まれています。これらのタグは推移的として設定され、[ロールの連鎖シナリオでも保持されます](id_session-tags.md#id_session-tags_role-chaining)。リクエストにはオプションの API パラメータ `DurationSeconds` が含まれます。これは CloudTrail ログでは `durationSeconds` として表され、`1800` 秒に設定されます。リクエストには、SAML アサーションで渡される SAML 属性 `sourceIdentity` も含まれています。作成されたロールセッションの資格情報を使用して別のロールを引き受ける場合、このソース ID は保持されます。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "SAMLUser",
"principalId": "SampleUkh1i4+ExamplexL/jEvs=:SamlExample",
"userName": "SamlExample",
"identityProvider": "bdGOnTesti4+ExamplexL/jEvs="
},
"eventTime": "2023-08-28T18:30:58Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRoleWithSAML",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "aws-internal/3 aws-sdk-java/1.12.479 Linux/5.10.186-157.751.amzn2int.x86_64 OpenJDK_64-Bit_Server_VM/17.0.7+11 java/17.0.7 kotlin/1.3.72 vendor/Amazon.com_Inc. cfg/retry-mode/standard",
"requestParameters": {
"sAMLAssertionID": "_c0046cEXAMPLEb9d4b8eEXAMPLE2619aEXAMPLE",
"roleSessionName": "MyAssignedRoleSessionName",
"sourceIdentity": "MySAMLUser",
"principalTags": {
"CostCenter": "987654",
"Project": "Unicorn",
"Department": "Engineering"
},
"transitiveTagKeys": [
"CostCenter",
"Project"
],
"roleArn": "arn:aws:iam::444455556666:role/SAMLTestRoleShibboleth",
"principalArn": "arn:aws:iam::444455556666:saml-provider/Shibboleth",
"durationSeconds": 1800
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Aug 28, 2023, 7:00:58 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROAD35QRSTUVWEXAMPLE:MyAssignedRoleSessionName",
"arn": "arn:aws:sts::444455556666:assumed-role/SAMLTestRoleShibboleth/MyAssignedRoleSessionName"
},
"packedPolicySize": 1,
"subject": "SamlExample",
"subjectType": "transient",
"issuer": "https://server.example.com/idp/shibboleth",
"audience": "https://signin.aws.amazon.com/saml",
"nameQualifier": "bdGOnTesti4+ExamplexL/jEvs=",
"sourceIdentity": "MySAMLUser"
},
"requestID": "6EXAMPLE-e595-11e5-b2c7-c974fEXAMPLE",
"eventID": "dEXAMPLE-265a-41e0-9352-4401bEXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "444455556666",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::444455556666:role/SAMLTestRoleShibboleth"
},
{
"accountId": "444455556666",
"type": "AWS::IAM::SAMLProvider",
"ARN": "arn:aws:iam::444455556666:saml-provider/test-saml-provider"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "444455556666",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "sts.us-east-2.amazonaws.com"
}
}
```
### CloudTrail ログファイル内の OIDC AWS STS API イベントの例
以下の例は、AWS STS [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) アクションに対するリクエストの CloudTrail ログエントリを示しています。リクエストには、OpenID Connect (OIDC) ID プロバイダー (IdP) トークンを介して[セッションタグ](id_session-tags.md)として渡される属性 `CostCenter` と `Project` が含まれています。これらのタグは推移的として設定され、[ロールの連鎖でも保持されます](id_session-tags.md#id_session-tags_role-chaining)。リクエストには、ID プロバイダートークンからの `sourceIdentity` 属性が含まれています。作成されたロールセッションの資格情報を使用して別のロールを引き受ける場合、このソース ID は保持されます。
CloudTrail ログエントリには、`identityProviderConnectionVerificationMethod` 属性を備えた `additionalEventData` フィールドも含まれています。この属性は、AWS が OIDC プロバイダーとの接続を検証する際に使用する方法を示します。属性値は、`IAMTrustStore` または `Thumbprint` のいずれかになります。`IAMTrustStore` 値は、AWS が信頼できるルート証明機関 (CA) のライブラリを使用して OIDC IdP との接続を正常に検証したことを示します。`Thumbprint` 値は、AWS が IdP 設定に設定された証明書サムプリントを使用して、OIDC IdP サーバー証明書を検証することを示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "WebIdentityUser",
"principalId": "arn:aws:iam::444455556666:oidc-provider/::",
"userName": "",
"identityProvider": "arn:aws:iam::444455556666:oidc-provider/"
},
"eventTime": "2024-07-09T15:41:37Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRoleWithWebIdentity",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "aws-cli/2.13.29 Python/3.11.6 Windows/10 exe/AMD64 prompt/off command/sts.assume-role-with-web-identity",
"requestParameters": {
"roleArn": "arn:aws:iam::444455556666:role/FederatedWebIdentityRole",
"roleSessionName": "",
"sourceIdentity": "MyWebIdentityUser",
"durationSeconds": 3600,
"principalTags": {
"CostCenter": "24680",
"Project": "Pegasus"
},
"transitiveTagKeys": [
"CostCenter",
"Project"
]
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Jul 9, 2024, 4:41:37 PM"
},
"subjectFromWebIdentityToken": "",
"sourceIdentity": "MyWebIdentityUser",
"assumedRoleUser": {
"assumedRoleId": "AROA123456789EXAMPLE:",
"arn": "arn:aws:sts::444455556666:assumed-role/FederatedWebIdentityRole/"
},
"provider": "arn:aws:iam::444455556666:oidc-provider/",
"audience": ""
},
"additionalEventData": {
"identityProviderConnectionVerificationMethod": "IAMTrustStore"
},
"requestID": "aEXAMPLE-0b26-40df-8973-c7012EXAMPLE",
"eventID": "aEXAMPLE-ee29-4ac0-a0ed-3f5c5EXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "444455556666",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::444455556666:role/FederatedWebIdentityRole"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "444455556666",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts.us-east-2.amazonaws.com"
}
}
```
### CloudTrail ログファイルのグローバルエンドポイントを使用した AWS STS API イベントの例
AWS Security Token Service (AWS STS) グローバルエンドポイント (`https://sts.amazonaws.com`) へのリクエストの場合、AWS STS は、追加の AWS CloudTrail ログフィールド (`endpointType` と `awsServingRegion`) を追加します。これらのフィールドは `addtionalEventData` `RequestDetails` 要素の下に表示され、サービスを提供する AWS リージョンと呼び出されるエンドポイントタイプをログに記録します。`endpointType` フィールドには `global` または `regional` の値を含めて、リクエストを処理したグローバルエンドポイントのタイプを示すことができます。AWS STS グローバルエンドポイントの変更に関する詳細については、「[AWS STS のリージョンとエンドポイント](id_credentials_temp_region-endpoints.md)」を参照してください。
**注記**
AWS STS グローバルエンドポイントに対して発信されたリクエストの AWS CloudTrail ログは、米国東部 (バージニア北部) リージョンに送信されます。AWS STS リージョンエンドポイントによって処理されたリクエストの CloudTrail ログは、CloudTrail のそれぞれのリージョンに引き続きログ記録されます。
次の例では、欧州 (ストックホルム) リージョンの eu-north-1 からグローバルエンドポイント (`https://sts.amazonaws.com`) に発信された AWS STS リクエストの CloudTrail ログエントリが示されています。`global` の `endpointType` フィールド値は、AWS STS リクエストが欧州 (ストックホルム) リージョンのグローバルエンドポイントによって処理されたことを示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:developer",
"arn": "arn:aws:sts::777788889999:assumed-role/Admin/developer",
"accountId": "777788889999",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::777788889999:role/Admin",
"accountId": "777788889999",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2025-02-12T21:44:28Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-02-12T22:16:48Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.15.33 Python/3.11.8 Linux/5.10.233-204.894.amzn2int.x86_64 exe/x86_64.amzn.2 prompt/off command/sts.assume-role",
"requestParameters": {
"roleArn": "arn:aws:iam::777788889999:role/test-role",
"roleSessionName": "test-global-assume-role"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Feb 12, 2025, 11:16:48 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROA987654321EXAMPLE:test-global-assume-role",
"arn": "arn:aws:sts::777788889999:assumed-role/test-role/test-global-assume-role"
}
},
"additionalEventData": {
"RequestDetails": {
"awsServingRegion": "eu-north-1",
"endpointType": "global"
}
},
"requestID": "EXAMPLE7-2497-457a-9586-f21feEXAMPLE",
"eventID": "EXAMPLEc-3d26-4c3a-9c94-722a9EXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "777788889999",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::777788889999:role/test-role"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "777788889999",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts-global.eu-north-1.amazonaws.com"
}
}
```
比較のため、次の例では欧州 (ストックホルム) リージョンの eu-north-1 のリージョンエンドポイントによって処理されたリージョンエンドポイント (`https://sts.us-west-2.amazonaws.com`) への AWS STS リクエストの CloudTrail ログエントリが示されています。`regional` の `endpointType` フィールド値は、AWS STS リクエストが欧州 (ストックホルム) リージョンのグローバルエンドポイントによって処理されたことを示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:developer",
"arn": "arn:aws:sts::777788889999:assumed-role/Admin/developer",
"accountId": "777788889999",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::777788889999:role/Admin",
"accountId": "777788889999",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2025-02-12T21:44:28Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-02-12T22:16:30Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "eu-north-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.15.33 Python/3.11.8 Linux/5.10.233-204.894.amzn2int.x86_64 exe/x86_64.amzn.2 prompt/off command/sts.assume-role",
"requestParameters": {
"roleArn": "arn:aws:iam::777788889999:role/test-role",
"roleSessionName": "test-global-assume-role"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "",
"expiration": "Feb 12, 2025, 11:16:30 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROA987654321EXAMPLE:test-global-assume-role",
"arn": "arn:aws:sts::777788889999:assumed-role/test-role/test-global-assume-role"
}
},
"additionalEventData": {
"RequestDetails": {
"endpointType": "regional",
"awsServingRegion": "eu-north-1"
}
},
"requestID": "EXAMPLEd-2116-4cd7-bd72-9f72fEXAMPLE",
"eventID": "EXAMPLEd-219a-48ed-bc54-00e3cEXAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "777788889999",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::777788889999:role/test-role"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "777788889999",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "sts.eu-north-1.amazonaws.com"
}
}
```
## CloudTrail ログのサインインイベントの例
CloudTrail ログファイルには、イベントが JSON 形式で書き込まれます。サインインイベントは、シングルサインインリクエストを表し、サインインプリンシパル、リージョン、およびアクションの日時に関する情報を含みます。
### CloudTrail ログファイル内のサインイン成功イベントの例
成功したサインインイベントの CloudTrail のログエントリの例を以下に示します。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::111122223333:user/John",
"accountId": "111122223333",
"userName": "John"
},
"eventTime": "2014-07-16T15:49:27Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.110",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"MobileVersion": "No",
"LoginTo": "[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)",
"MFAUsed": "No"
},
"eventID": "3fcfb182-98f8-4744-bd45-10a395ab61cb"
}
```
以下は、認可コードリクエストに成功した CloudTrail のログエントリの例です。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROATJHQDX737YZP72NTF:thesjain-Isengard",
"arn": "arn:aws:sts::225989345271:assumed-role/Admin/thesjain-Isengard",
"accountId": "225989345271",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROATJHQDX737YZP72NTF",
"arn": "arn:aws:iam::225989345271:role/Admin",
"accountId": "225989345271",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-11-17T22:50:14Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-17T22:51:32Z",
"eventSource": "signin.amazonaws.com",
"eventName": "AuthorizeOAuth2Access",
"awsRegion": "us-east-1",
"sourceIPAddress": "52.94.133.136",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
"requestParameters": {
"scope": "openid",
"redirect_uri": "http://127.0.0.1:53037/oauth/callback",
"code_challenge_method": "SHA-256",
"client_id": "arn:aws:signin:::devtools/same-device"
},
"responseElements": null,
"additionalEventData": {
"success": "true",
"x-amzn-vpce-id": ""
},
"requestID": "e2854c76-1cba-4360-9fd1-5037b591466b",
"eventID": "59e1720d-3deb-44ff-933d-6828be2a860a",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "225989345271",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
以下は、OAuth2 トークンの作成リクエストに成功した CloudTrail のログエントリの例です。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROATJHQDX737YZP72NTF:jacobjoj-Isengard",
"arn": "arn:aws:sts::225989345271:assumed-role/Admin/jacobjoj-Isengard",
"accountId": "225989345271",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROATJHQDX737YZP72NTF",
"arn": "arn:aws:iam::225989345271:role/Admin",
"accountId": "225989345271",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-11-18T20:38:10Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-18T20:38:44Z",
"eventSource": "signin.amazonaws.com",
"eventName": "CreateOAuth2Token",
"awsRegion": "us-east-1",
"sourceIPAddress": "15.248.6.6",
"userAgent": "aws-cli/2.32.0 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,AA,Z,E cfg/retry-mode#standard md/installer#exe sid/35033f4ca1bd md/prompt#off md/command#login",
"requestParameters": {
"client_id": "arn:aws:signin:::devtools/same-device"
},
"responseElements": null,
"additionalEventData": {
"success": "true",
"x-amzn-vpce-id": ""
},
"requestID": "94562943-c85b-4dc1-bf72-43b0fd42d6de",
"eventID": "0b338fac-6a10-4740-b34d-1bb6923e799e",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "225989345271",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
CloudTrail ログファイルに含まれる情報の詳細については、[ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/eventreference.html) の「*AWS CloudTrailCloudTrail イベントリファレンス*」を参照してください。
### CloudTrail ログファイル内のサインイン失敗イベントの例
失敗したサインインイベントの CloudTrail のログエントリの例を以下に示します。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::111122223333:user/JaneDoe",
"accountId": "111122223333",
"userName": "JaneDoe"
},
"eventTime": "2014-07-08T17:35:27Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.100",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"errorMessage": "Failed authentication",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Failure"
},
"additionalEventData": {
"MobileVersion": "No",
"LoginTo": "https://console.aws.amazon.com/sns",
"MFAUsed": "No"
},
"eventID": "11ea990b-4678-4bcd-8fbe-62509088b7cf"
}
```
この情報から、`JaneDoe` 要素に示されているように、このサインインは `userIdentity` という IAM ユーザーによって試行されたことを確認できます。また、`responseElements` 要素に示されているように、サインインの試行が失敗したこともわかります。さらに、`JaneDoe` が 2014 年 7 月 8 日、午後 5 時 35 分 (UTC) に Amazon SNS コンソールにサインインしようとしたことも確認できます。
### 間違ったユーザー名が原因で発生したサインイン失敗イベントの例
以下の例は、ユーザーが間違ったユーザー名を入力したことが原因で発生したサインイン失敗イベントの CloudTrail ログ項目を示しています。AWS は、`userName` テキストを `HIDDEN_DUE_TO_SECURITY_REASONS` でマスクして、機密となっている可能性のある情報が漏れないようにします。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"eventTime": "2015-03-31T22:20:42Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.101",
"userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0",
"errorMessage": "No username found in supplied account",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Failure"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true",
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "a7654656-0417-45c6-9386-ea8231385051",
"eventType": "AwsConsoleSignin",
"recipientAccountId": "123456789012"
}
```
## IAM ロールの信頼ポリシーの動作
2022 年 9 月 21 日、AWS は IAM ロールの信頼ポリシーの動作を変更し、ロールがそれ自体を引き受けるときにロールの信頼ポリシーで明示的な許可を必要とするようにしました。レガシー動作の許可リストに含まれている IAM ロールには、`AssumeRole` イベントのための explicitTrustGrant に関連する additionalEventData フィールドがあります。レガシー許可リストのロールがレガシー動作を使用してそれ自体を引き受けた場合、`explicitTrustGrant` の値は false になります。レガシー許可リストのロールがそれ自体を引き受けたとしても、ロールの信頼ポリシーの動作が更新され、ロールがそれ自体を引き受けることが明示的に許可されている場合、`explicitTrustGrant` の値は true になります。
レガシー動作の許可リストに含まれている IAM ロールの数は非常に少ないです。このフィールドがこれらのロールの CloudTrail ログに存在するのは、これらのロールがそれら自体を引き受けた場合にのみです。ほとんどの場合、IAM ロールがそれ自体を引き受ける必要はありません。AWS では、プロセス、コード、または設定を更新してこの動作を削除するか、ロールの信頼ポリシーを更新してこの動作を明示的に許可することをお勧めしています。詳細については、「[Announcing an update to IAM role trust policy behavior](https://aws.amazon.com/blogs//security/announcing-an-update-to-iam-role-trust-policy-behavior/)」を参照してください。