IAM認証情報レポートがいつの間にか作成されていたので、どのタイミングで作成されるのか確認してみた
2025.04.30こんにちは。
繁松です。
はじめに
IAM認証情報レポートをダウンロードする際に、作成した覚えがないのに「レポートの最終作成時刻: 〇時間前。」と表示されていたことはありませんか?
どのような場合にIAM認証情報レポートが作成されるのか確認してみました。
IAM認証情報レポートとは
IAM認証情報レポートについては以下のブログで紹介されています。
IAMユーザー/アクセスキー等の棚卸を実施する際に便利なレポートとなります。
AWSアカウント内の全てのユーザーとユーザーの認証情報ステータス(MFA、最終ログイン時間、パスワード利用有無等)をCSVでダウンロードできます。 レポートは4時間ごとに1回作成となります。
結論
AWSドキュメントで認証情報レポートの取得は以下の方法が記載されています。
- 認証情報レポートの取得 (コンソール)
- 認証情報レポートの取得 (AWS CLI)
- 認証情報レポートの取得 (AWS API)
上記の取得方法を実行していないのにレポートが作成されている場合は、「Configルール」や「Trusted Advisor」の動作により作成されていることが考えられます。
iam-password-policy、iam-root-access-key-check、iam-root-access-key-checkといったIAMに関連する動作の際にGenerateCredentialReport APIが呼び出され、IAM認証情報レポートが作成されます。
Cloudtrailのイベントを確認してみます。
IAMに関するイベントは「バージニア北部(us-east-1)」リージョンで確認する必要があります。
「イベント名:GenerateCredentialReport」でフィルターをかけ、IAM認証情報レポートの作成イベントを確認します。
イベントを確認すると、Configにより「GenerateCredentialReport」が呼び出されていることを確認できました。
さいごに
IAM認証情報レポートの作成タイミングについて、作成した覚えがないのに作成されており気になったので確認してみました。
![[Auth0] Auth0とAWSのOIDC連携でセキュアなS3アクセス制御を実現する](https://images.ctfassets.net/ct0aopd36mqt/1dD7b8HkT2sbiJzUIewMTD/e5cdc6f33c4fdd9d798f11a4564612ff/eyecatch_developersio_darktone_1200x630.jpg)
