Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い
Search
keyaki80
November 08, 2025
44
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い
keyaki80
November 08, 2025
More Decks by keyaki80
See All by keyaki80
エンジニアのキャリアと品質_分岐する道と導く太陽
keyaki80
0
82
人類とAIの未来/ グレート・インバージョン
keyaki80
0
19
わからないもできませんも言えない未経験エンジニアがもう一度エンジニアになって考えたこと
keyaki80
0
20
吉日IOブッククラブの一年
keyaki80
1
250
Cockpitをはじめよう
keyaki80
0
100
Featured
See All Featured
Docker and Python
trallard
47
3.9k
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
460
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.9k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
220
Designing for Performance
lara
611
70k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
330
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
230
23k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
220
Code Review Best Practice
trishagee
74
20k
The Director’s Chair: Orchestrating AI for Truly Effective Learning
tmiket
1
210
YesSQL, Process and Tooling at Scale
rocio
174
15k
Art, The Web, and Tiny UX
lynnandtonic
304
22k
Transcript
CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い 佐々⽊ 健成(ささき けんせい) :@fullen789
・Cloudiiという会社で主にOracle Cloud の設計/構築を⾏っています ・現在、Oracle AI選⼿権に向けてOCI AIサービスと格闘中 ・個⼈で毎週読書会を開催しています ・次回AWSを設計する際は、IAM Identity Centerを採⽤したい︕ 2025/11/8 [IAMスペシャル︕] Security-JAWS【第39回】 勉強会 LT
注意事項 ・本資料は2025/10/27時点の仕様に基づき作成しています。 ・本資料のIdentity Centerは単⼀アカウント構成し、外部IdP連携は使⽤せず、 AWS Organizationsの管理アカウントからCloudTrailを参照しています。
アジェンダ 1. IAMユーザーログイン時のイベント 2. Identity Center(アクセスポータル)ログイン時のイベント 3. まとめ
IAMユーザーログイン時の画⾯遷移 コンソール ログイン画⾯ コンソール トップ画⾯ CloudTrailイベント
IAMユーザーログイン時のCloudTrailイベント AWSサービス群 ユーザ アカウント/パスワード⼊⼒ CheckMfa (MFA設定チェック) TOTPコード⼊⼒画⾯へ遷移 TOTPコード⼊⼒ ConsoleLogin (サインイン)
コンソールトップ画⾯へ遷移 コンソール ログイン画⾯ ユーザ操作/画⾯遷移 CloudTrailイベント名 時間 ※コンソールトップ画⾯表⽰⽤のイベント、イベントのレスポンスの⽮印は省略 パスワード⼊⼒時点では パスワードは検証されてない ConsoleLoginイベントに サインインの結果が含まれる "responseElements": { "ConsoleLogin": "Success" },
[アカウントID] アクセスポータル ログイン画⾯ アクセスポータル トップ画⾯ コンソール トップ画⾯ CloudTrailイベント1 CloudTrailイベント2 許可セット
Identity Centerログイン時の画⾯遷移
Identity Centerログイン時のCloudTrailイベント1 アクセスポータル ログイン画⾯ ユーザ名⼊⼒ CredentialChallenge (パスワード認証要求) パスワード⼊⼒画⾯へ遷移 パスワード⼊⼒ TOTPコード⼊⼒画⾯へ遷移
TOTPコード⼊⼒ アクセスポータルトップ画⾯へ遷移 CredentialVerification (パスワード検証) CredentialChallenge (TOTP認証要求) CredentialVerification (TOTP検証) UserAuthentication (ログイン) Authenticate (認証完了記録) AWSサービス群 ユーザ CredentialVerificationイベントで パスワードとTOTPを個別に検証 フィールドに検証結果を含む 検証が問題なければ UserAuthenticationイベントが記 録されてログイン成功 検証失敗なら記録されない ※ポータルトップ画⾯表⽰⽤のイベントは省略、イベントのレスポンスの⽮印は省略 "serviceEventDetails": { "CredentialVerification": "Success" },
Identity Centerログイン時のCloudTrailイベント2 アカウント/許可セット選択 Federate (アカウント/許可セット指定) ConsoleLogin (ログイン) コンソールトップ画⾯へ遷移 GetSigninToken (サインイントークン取得)
AssumeRoleWithSAML (⼀時認証情報取得) アクセスポータル トップ画⾯ AWSサービス群 同⼀秒にイベントが発⽣するため イベントの発⽣順について不明確 イベントの内容や仕様ベースで記載 ConsoleLoginイベントも記録される ※ポータルトップ画⾯表⽰⽤のイベントは省略、イベントのレスポンスの⽮印は省略 ユーザ "responseElements": { "ConsoleLogin": "Success" }, 同時刻に発⽣ 出⼒順不同
IAM IdentityCenterのアクセスポータルログイン ・IAMユーザーログインとCloudTrailのイベント履歴が⼤きく異なる。 ・CredentialVerificationイベントで、認証成功/失敗を把握できる。 まとめ ご清聴ありがとうございました!