Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い

Avatar for keyaki80 keyaki80
November 08, 2025
0
13

CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い

Avatar for keyaki80

keyaki80

November 08, 2025
Tweet

More Decks by keyaki80

See All by keyaki80
吉日IOブッククラブの一年
Avatar for keyaki80 keyaki80
1
220
Cockpitをはじめよう
Avatar for keyaki80 keyaki80
0
90

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.7k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
33k
It's Worth the Effort
Avatar for 3n 3n
187
28k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.5k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
66k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k

Transcript

  1. CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い 佐々⽊ 健成(ささき けんせい) :@fullen789

    ・Cloudiiという会社で主にOracle Cloud の設計/構築を⾏っています ・現在、Oracle AI選⼿権に向けてOCI AIサービスと格闘中 ・個⼈で毎週読書会を開催しています ・次回AWSを設計する際は、IAM Identity Centerを採⽤したい︕ 2025/11/8 [IAMスペシャル︕] Security-JAWS【第39回】 勉強会 LT

  2. 注意事項 ・本資料は2025/10/27時点の仕様に基づき作成しています。 ・本資料のIdentity Centerは単⼀アカウント構成し、外部IdP連携は使⽤せず、 AWS Organizationsの管理アカウントからCloudTrailを参照しています。

  3. アジェンダ 1. IAMユーザーログイン時のイベント 2. Identity Center(アクセスポータル)ログイン時のイベント 3. まとめ

  4. IAMユーザーログイン時の画⾯遷移 コンソール ログイン画⾯ コンソール トップ画⾯ CloudTrailイベント

  5. IAMユーザーログイン時のCloudTrailイベント AWSサービス群 ユーザ アカウント/パスワード⼊⼒ CheckMfa (MFA設定チェック) TOTPコード⼊⼒画⾯へ遷移 TOTPコード⼊⼒ ConsoleLogin (サインイン)

    コンソールトップ画⾯へ遷移 コンソール ログイン画⾯ ユーザ操作/画⾯遷移 CloudTrailイベント名 時間 ※コンソールトップ画⾯表⽰⽤のイベント、イベントのレスポンスの⽮印は省略 パスワード⼊⼒時点では パスワードは検証されてない ConsoleLoginイベントに サインインの結果が含まれる "responseElements": { "ConsoleLogin": "Success" },

  6. [アカウントID] アクセスポータル ログイン画⾯ アクセスポータル トップ画⾯ コンソール トップ画⾯ CloudTrailイベント1 CloudTrailイベント2 許可セット

    Identity Centerログイン時の画⾯遷移

  7. Identity Centerログイン時のCloudTrailイベント1 アクセスポータル ログイン画⾯ ユーザ名⼊⼒ CredentialChallenge (パスワード認証要求) パスワード⼊⼒画⾯へ遷移 パスワード⼊⼒ TOTPコード⼊⼒画⾯へ遷移

    TOTPコード⼊⼒ アクセスポータルトップ画⾯へ遷移 CredentialVerification (パスワード検証) CredentialChallenge (TOTP認証要求) CredentialVerification (TOTP検証) UserAuthentication (ログイン) Authenticate (認証完了記録) AWSサービス群 ユーザ CredentialVerificationイベントで パスワードとTOTPを個別に検証 フィールドに検証結果を含む 検証が問題なければ UserAuthenticationイベントが記 録されてログイン成功 検証失敗なら記録されない ※ポータルトップ画⾯表⽰⽤のイベントは省略、イベントのレスポンスの⽮印は省略 "serviceEventDetails": { "CredentialVerification": "Success" },

  8. Identity Centerログイン時のCloudTrailイベント2 アカウント/許可セット選択 Federate (アカウント/許可セット指定) ConsoleLogin (ログイン) コンソールトップ画⾯へ遷移 GetSigninToken (サインイントークン取得)

    AssumeRoleWithSAML (⼀時認証情報取得) アクセスポータル トップ画⾯ AWSサービス群 同⼀秒にイベントが発⽣するため イベントの発⽣順について不明確 イベントの内容や仕様ベースで記載 ConsoleLoginイベントも記録される ※ポータルトップ画⾯表⽰⽤のイベントは省略、イベントのレスポンスの⽮印は省略 ユーザ "responseElements": { "ConsoleLogin": "Success" }, 同時刻に発⽣ 出⼒順不同

  9. IAM IdentityCenterのアクセスポータルログイン ・IAMユーザーログインとCloudTrailのイベント履歴が⼤きく異なる。 ・CredentialVerificationイベントで、認証成功/失敗を把握できる。 まとめ ご清聴ありがとうございました!