QuickSight のユーザー作成、ロール変更、ユーザー削除の履歴を CloudTrail から確認してみた

QuickSight において、いつユーザーが作成されたのか、ロール変更が過去に行われていたのか、ユーザーの削除はいつ実施されたのか、などの情報は何かトラブルが発生した際に確認したい内容かと思います。

今回は、「閲覧者ユーザー作成、ロール変更（閲覧者 -> 作成者）、ユーザー削除」 を実施し、その履歴を CloudTrail から確認してみました。

先にまとめ

QuickSight で以下の操作が行われたときは、CloudTrail の次のイベントから履歴を確認できます。

• ユーザー作成 -> BatchCreateUser
• ロール変更 -> BatchUpdateUser
• ユーザー削除 -> DeleteUser

やってみた

ユーザー作成

QuickSight ユーザーを招待します。

閲覧者ロールで、ユーザー hogehoge を招待します。

招待メールが届くので、パスワードを設定し、QuickSight へサインインします。
以下の通り、サインインができました。

CloudTrail を確認すると、BatchCreateUser イベントが発生しています。

イベントレコードの詳細を見ると、serviceEventDetails 項目にて、ロールが閲覧者(READER) で hogehoge ユーザーが作成されていることが確認できます。

"serviceEventDetails": {
        "eventRequestDetails": {
            "users": {
                "hogehoge": {
                    "role": "READER"
                }
            }
        },

ロール変更

続いて、作成済みの hogehoge ユーザーのロールを 閲覧者 から 作成者 へ変更してみます。

変更を「確認」します。

変更できました。

「ユーザーを管理」の画面でも作成者になっていることが確認できます。

CloudTrail を確認すると、BatchUpdateUser イベントが記録されていることがわかります。

イベント JSON の serviceEventDetails を見ると、hogehoge ユーザーのロールが "USER" と記録されていました。
検証前の予想では、作成者に変更したので "Author" などの文言が記録されると思いましたが、"USER" なんですね。いずれにせよロール変更履歴については、BatchUpdateUserイベントで確認ができそうです。

"serviceEventDetails": {
        "eventRequestDetails": {
            "users": {
                "hogehoge": {
                    "role": "USER"
                }
            }
        },

ユーザー削除

最後に hogehoge ユーザーを削除します。
「ユーザーを管理」の画面のゴミ箱アイコンを選びます。

今回は hogehoge ユーザーで作成した QuickSight リソースはないので、「孤立したすべてのリソースを削除」を選びます。

再度ポップアップが出るので、「削除」します。

削除完了しました。ユーザー管理画面からも表示が消えています。

CloudTrail を見ると、DeleteUser イベントが記録されています。

詳細を確認すると、role が USER で 名前が hogehoge ユーザーが削除されたことが確認できます。

"serviceEventDetails": {
        "eventRequestDetails": {
            "user": {
                "role": "USER",
                "userName": "hogehoge"
            }
        }
    }

終わりに

今回は、QuickSight のユーザー作成、変更、削除 のイベントを CloudTrail から追ってみました。
障害や不注意による誤操作などがあった際に、ユーザー変更履歴を確認したいなどの場合は、CloudTrail を確認してみるのもいいかもしれませんね。
本記事がどなたかのお役に立てば幸いです。