# AWS アカウント の認証情報レポートを生成します。
アカウントのすべてのユーザーと、ユーザーの各種認証情報 (パスワード、アクセスキー、MFA デバイスなど) のステータスが示された*認証情報レポート*を生成し、ダウンロードできます。認証情報レポートは、AWS マネジメントコンソール、[AWS SDK](https://aws.amazon.com/tools)、[コマンドラインツール](https://aws.amazon.com/tools/#Command_Line_Tools)、または IAM API から取得できます。
**注記**
IAM 認証情報レポートには IAM が管理する次の認証情報のみが含まれます。パスワード、ユーザーごとに最初の 2 つのアクセスキー、MFA デバイス、X.509 署名証明書。このレポートには、サービス固有の認証情報 (CodeCommit パスワード、Amazon Bedrock の長期 API キー、Amazon CloudWatch Logs の長期 API キーなど) や、最初の 2 つ以外のユーザーアクセスキーは含まれません。認証情報をすべて表示するには、[ListServiceSpecificCredentials](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) API と [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) API を使用します。
認証情報レポートを使用して、監査やコンプライアンスの作業を支援することができます。このレポートを使用して、パスワードやアクセスキーの更新など、認証情報ライフサイクルの要件の効果を監査できます。外部の監査人にこのレポートを提供することも、監査人が直接このレポートをダウンロードできるようにアクセス権限を付与することもできます。
認証情報レポートは、4 時間ごとに 1 回生成できます。レポートをリクエストすると、IAM はまず AWS アカウント について過去 4 時間以内にレポートが生成されたかどうかを確認します。レポートが生成されている場合は、最新のレポートがダウンロードされます。アカウントの最新のレポートが 4 時間以上前のものであるか、アカウントに以前のレポートがない場合、IAM は新しいレポートを生成してダウンロードします。
**Topics**
+ [
## 必要なアクセス許可
](#id_credentials_required_permissions)
+ [
## レポートフォーマットの理解
](#id_credentials_understanding_the_report_format)
+ [
## 認証情報レポートの取得 (コンソール)
](#getting-credential-reports-console)
+ [
## 認証情報レポートの取得 (AWS CLI)
](#getting-credential-reports-cliapi)
+ [
## 認証情報レポートの取得 (AWS API)
](#getting-credential-reports-api)
## 必要なアクセス許可
レポートを作成してダウンロードするには、以下のアクセス許可が必要です。
+ 認証情報レポートを作成生成するには: `iam:GenerateCredentialReport`
+ レポートをダウンロードするには: `iam:GetCredentialReport`
## レポートフォーマットの理解
認証情報レポートは、カンマ区切り値(CSV)ファイルとしてフォーマットされます。CSV ファイルを一般的なスプレッドシートソフトウェアで開いて分析を実行できます。また、CSV ファイルをプログラム的に利用するアプリケーションを作成して、カスタム分析を実行することもできます。
CSV ファイルには、次の列が含まれます。
**ユーザー**
ユーザーのわかりやすい名前。
**arn**
ユーザーの Amazon リソースネーム(ARN)。ARN の詳細については、[IAM ARN](reference_identifiers.md#identifiers-arns)を参照してください。
**user\$1creation\$1time**
ユーザーが作成された日時 ([ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601))。
**password\$1enabled**
ユーザーがパスワードを持っている場合、この値は `TRUE` です。それ以外の場合は、`FALSE` です。組織の一部として作成された新規メンバーアカウントは、デフォルトでルートユーザー認証情報を持たないため、この値は `FALSE` になります。
**password\$1last\$1used**
AWS アカウントのルートユーザー またはユーザーのパスワードを使用して最後に AWS ウェブサイトにサインインした日時「[(ISO 8601 日付/時刻形式)](http://www.iso.org/iso/iso8601)」。AWS ユーザーの最終サインイン時刻をキャプチャするウェブサイトには、AWS マネジメントコンソール、AWS ディスカッションフォーラム、および AWS Marketplace があります。5 分以内にパスワードが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。
+ 次のような場合、このフィールドの値は `no_information` になります。
+ ユーザーのパスワードが使用されたことがない場合。
+ IAM が 2014 年 10 月 20 日にこの情報の追跡を開始してから、ユーザーのパスワードが使用されていないなど、パスワードに関連付けられたサインインデータがない場合。
+ ユーザーがパスワードを所有していない場合、このフィールドの値は `N/A` (該当なし) です。
**重要**
サービス上の問題により、前回使用したパスワードに関するデータには、2018 年 5 月 3 日 22 時 50 分 (太平洋夏時間) から 2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) までのパスワードの使用は含まれません。これは、IAM コンソールに表示される[前回サインイン](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)した日付および [IAM 認証情報レポート](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html)でパスワードを前回使用した日付として [GetUser API オペレーション](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)から返される日付に影響を与えます。該当する期間中にユーザーがサインインした場合、パスワードを前回使用した日付として返される日付は、2018 年 5 月 3 日より前にユーザーが最後にサインインした日付になります。2018 年 5 月 23 日 14 時 08 分 (太平洋夏時間) より後にサインインしたユーザーの場合、パスワードを前回使用した日付として返される日付は正確です。
前回使用したパスワードに関する情報を使用して未使用の認証情報を特定して削除する (例: 過去 90 日間に AWS にサインインしなかったユーザーを削除する) 場合は、2018 年 5 月 23 日より後の日付を含めるように評価ウィンドウを調整してください。または、ユーザーがアクセスキーを使用して AWS にプログラムでアクセスする場合は、前回使用したアクセスキーの情報を参照できます。これはすべての日付について正確であるためです。
**password\$1last\$1changed**
ユーザーのパスワードが最後に設定された日時 ([ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601))。ユーザーがパスワードを所有していない場合、このフィールドの値は `N/A` (該当なし) です。
**password\$1next\$1rotation**
アカウントにパスワードの更新を必要とする[パスワードポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html)がある場合、このフィールドには、新しいパスワードを設定するようユーザーに求める日時 ([ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601)) が保存されます。AWS アカウント (ルート) の値は常に `not_supported` です。
**mfa\$1active**
ユーザーに対して[多要素認証](id_credentials_mfa.md) (MFA) デバイスが有効になっていた場合、この値は `TRUE` です。それ以外の場合は、`FALSE` です。
**access\$1key\$11\$1active**
ユーザーがアクセスキーを所有し、そのアクセスキーのステータスが `Active` である場合、この値は `TRUE` です。それ以外の場合は、`FALSE` です。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
**access\$1key\$11\$1last\$1rotated**
ユーザーのアクセスキーが作成または最後に変更された日時 ([ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601))。ユーザーがアクティブなアクセスキーを所有していない場合、このフィールドの値は `N/A` (該当なし) です。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
**access\$1key\$11\$1last\$1used\$1date**
AWS API リクエストの署名にユーザーのアクセスキーが直近に使用されたときの [ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601)の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
次のような場合、このフィールドの値は `N/A`(該当なし)になります。
+ ユーザーにアクセスキーがない場合。
+ アクセスキーが一度も使用されていない場合。
+ IAM が 2015 年 4 月 22 日にこの情報の追跡を開始してから、アクセスキーが使用されていない場合。
**access\$1key\$11\$1last\$1used\$1region**
アクセスキーが直近に使用された [AWS リージョン](https://docs.aws.amazon.com/general/latest/gr/rande.html)。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
次のような場合、このフィールドの値は `N/A`(該当なし)になります。
+ ユーザーにアクセスキーがない場合。
+ アクセスキーが一度も使用されていない場合。
+ アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
+ 最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。
**access\$1key\$11\$1last\$1used\$1service**
アクセスキーを使用して最近アクセスされた AWS サービス。このフィールドの値として、サービスの`s3`名前空間 (Amazon S3 の 、Amazon EC2 の `ec2` など) が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
次のような場合、このフィールドの値は `N/A`(該当なし)になります。
+ ユーザーにアクセスキーがない場合。
+ アクセスキーが一度も使用されていない場合。
+ アクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
**access\$1key\$12\$1active**
ユーザーが 2 つ目のアクセスキーを所有し、その 2 つ目のキーのステータスが `Active` である場合、この値は `TRUE` です。それ以外の場合は、`FALSE` です。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
ユーザーはアクセスキーを 2 つまで持つことができ、最初にキーを更新してから前のキーを削除すると、ローテーションが簡単になります。アクセスキーの更新の詳細については、「[アクセスキーを更新する](id-credentials-access-keys-update.md)」を参照してください。
**access\$1key\$12\$1last\$1rotated**
ユーザーの 2 つ目のアクセスキーが作成された、または最後に更新された日時 ([ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601))。ユーザーが 2 つ目のアクティブなアクセスキーを所有していない場合、このフィールドの値は `N/A` (該当なし) です。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
**access\$1key\$12\$1last\$1used\$1date**
AWS API リクエストの署名にユーザーの 2 つ目のアクセスキーが直近に使用されたときの [ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601)の日付と時刻。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。
次のような場合、このフィールドの値は `N/A`(該当なし)になります。
+ ユーザーに 2 つ目のアクセスキーがない場合。
+ ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。
+ ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
**access\$1key\$12\$1last\$1used\$1region**
ユーザーの 2 つ目のアクセスキーが直近に使用された [AWS リージョン](https://docs.aws.amazon.com/general/latest/gr/rande.html)。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。次のような場合、このフィールドの値は `N/A`(該当なし)になります。
+ ユーザーに 2 つ目のアクセスキーがない場合。
+ ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。
+ ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
+ 最後に使用したサービスは、Amazon S3 など、リージョン固有ではありません。
**access\$1key\$12\$1last\$1used\$1service**
ユーザーの 2 つ目のアクセスキーを使用して最近アクセスされた AWS サービス。このフィールドの値として、サービスの`s3`名前空間 (Amazon S3 の 、Amazon EC2 の `ec2` など) が使用されます。15 分以内にアクセスキーが複数回使用された場合、最初の使用のみがこのフィールドに記録されます。アカウントのルートユーザーと IAM ユーザーの両方に適用されます。次のような場合、このフィールドの値は `N/A`(該当なし)になります。
+ ユーザーに 2 つ目のアクセスキーがない場合。
+ ユーザーの 2 つ目のアクセスキーが一度も使用されていない場合。
+ ユーザーの 2 つ目のアクセスキーが最後に使用されたのが、IAM が 2015 年 4 月 22 日にこの情報の追跡を開始するより前の場合。
**cert\$11\$1active**
ユーザーが X.509 署名証明書を所有し、その証明書のステータスが `Active` である場合、この値は `TRUE` です。それ以外の場合は、`FALSE` です。
**cert\$11\$1last\$1rotated**
ユーザーの署名証明書が作成または最後に変更された日時 ([ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601))。ユーザーがアクティブな署名証明書を所有していない場合、このフィールドの値は `N/A` (該当なし) です。
**cert\$12\$1active**
ユーザーが 2 つ目の X.509 署名証明書を所有し、その証明書のステータスが `Active` である場合、この値は `TRUE` です。それ以外の場合は、`FALSE` です。
証明書のローテーションを容易にするために、ユーザーは最大で 2 個の X.509 署名証明書を持つことができます。
**cert\$12\$1last\$1rotated**
ユーザーの 2 つ目の署名証明書が作成または最後に変更された日時 ([ISO 8601 日付/時刻形式](https://en.wikipedia.org/wiki/ISO_8601))。ユーザーが 2 つ目のアクティブな署名証明書を所有していない場合、このフィールドの値は `N/A` (該当なし) です。
**additional\$1credentials\$1info**
ユーザーが 3 つ以上のアクセスキーまたは証明書を持っている場合、この値は追加のアクセスキーまたは証明書、およびユーザーに関連付けられたアクセスキーまたは証明書を一覧表示するために使用できるアクションの数になります。
## 認証情報レポートの取得 (コンソール)
AWS マネジメントコンソールを使用して、認証情報レポートをカンマ区切り値 (CSV) ファイルとしてダウンロードできます。
**認証情報レポートをダウンロードするには (コンソール)**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. ナビゲーションペインで、[**認証情報レポート**] を選択します。
1. [**レポートをダウンロード**] を選択します。
## 認証情報レポートの取得 (AWS CLI)
**認証情報レポートをダウンロードするには (AWS CLI)**
1. 認証情報レポートを生成します。AWS には、単一のレポートが格納されます。レポートが存在する場合、認証情報レポートを生成すると、以前のレポートが上書きされます。[https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html)
1. 最後に生成されたレポートを表示します: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html)
## 認証情報レポートの取得 (AWS API)
**認証情報レポートをダウンロードするには (AWS API)**
1. 認証情報レポートを生成します。AWS には、単一のレポートが格納されます。レポートが存在する場合、認証情報レポートを生成すると、以前のレポートが上書きされます。[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)
1. 最後に生成されたレポートを表示します: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)