AWS IAM Identity Center の CloudTrail イベントからuserNameの出力が停止されました
2025.08.30
こんにちは。
繁松です。
はじめに
AWS IAM Identity Center の CloudTrail イベントからuserNameの出力が停止されました。
2024年11月19日のAWSブログ紹介されていた「Important changes to CloudTrail events for AWS IAM Identity Center」ですが、予定通り7月14日頃から適用されていました。
これにより今までCloudtrailに記録されていたAWS IAM Identity Center の CloudTrail イベントからuserNameが記録されなくなりました。
userNameが記録されなくなったことで以下のブログで紹介されているCloudtrailとAthenaを使ったIICのサインインログを確認する方法が利用できなくなってしまいました。
これまで
"eventName": "CredentialChallenge",
"eventSource": "signin.amazonaws.com",
"userIdentity": {
"type": "Unknown",
"userName": "anyuser",
"accountId": "123456789012",
"principalId": "123456789012",
"onBehalfOf": {
"userId": "a11111-1111-1111-11a1-111aa111aa11",
"identityStoreArn": "arn:aws:identitystore::111111111:identitystore/d-111111a1a"
},
"credentialId": "1111a111111111a1a11111a1a[…]"
},
"additionalEventData": {
"CredentialType": "PASSWORD",
"UserName": "anyuser"
}
これから
"eventName": "CredentialChallenge",
"eventSource": "signin.amazonaws.com",
"userIdentity": {
"type": "IdentityCenterUser",
"accountId": "123456789012",
"onBehalfOf": {
"userId": "a11111-1111-1111-11a1-111aa111aa11",
"identityStoreArn": "arn:aws:identitystore::111111111:identitystore/d-111111a1a"
},
"credentialId": "1111a111111111a1a11111a1a[…]"
},
"additionalEventData": {
"CredentialType": "PASSWORD",
"UserName": "anyuser"
}
確認してみた
実際に確認したところ以下のように、「userIdentity」内の「userName」が出力されていませんでした。
{
"eventVersion": "1.10",
"userIdentity": {
"type": "IdentityCenterUser",
"accountId": "アカウントID",
"onBehalfOf": {
"userId": "ユーザーID",
"identityStoreArn": "arn:aws:identitystore::アカウントID:identitystore/identitystoreID"
},
"credentialId": "61702d6e6f727468656173742d312dec17b98f8dbeeb"
},
"eventTime": "2025-07-30T02:41:46Z",
"eventSource": "sso.amazonaws.com",
"eventName": "Federate",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "IPアドレス",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36",
"requestParameters": null,
"responseElements": null,
"requestID": "9a74f717-525b-45fe-9848-a61b2a707f12",
"eventID": "17d74868-2094-4d8b-a54a-aa82cfc4a7e0",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "アカウントID",
"serviceEventDetails": {
"role_name": "ViewOnlyAccess",
"account_id": "アカウントID"
},
"eventCategory": "Management"
}
関連する IAM Identity Center CloudTrail イベント グループ、イベント ソース、およびイベント名をまとめたものは以下です。
| Event group | Source | Event names |
|---|---|---|
| AWS access portal | sso.amazonaws.com | Authenticate Federate ListAccountRoles ListAccounts ListApplications ListProfilesForApplication GetRoleCredentials Logout |
| OIDC | sso.amazonaws.com | CreateToken |
| Sign-in | signin.amazonaws.com | CredentialChallenge CredentialVerification UserAuthentication |
| Identity Store | sso-directory.amazonaws.com or identitystore.amazonaws.com |
ListMfaDevicesForUser DeleteMfaDeviceForUser UpdateMfaDeviceForUser StartWebAuthnDeviceRegistration StartVirtualMfaDeviceRegistration CompleteWebAuthnDeviceRegistration CompleteVirtualMfaDeviceRegistration CreateGroup UpdateGroup |
さいごに
CloudTrailのイベントのダウンロードではCSV形式の場合、ユーザーIDが記録されていませんでした。
JSON形式の場合はユーザーIDが記録されていました。
CloudTrailからイベントをダウンロードしてユーザーの特定などを実施していた場合にはJSON形式でダウンロードする必要がありそうです。
