この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
困っていること
AWS Managed Microsoft AD でログを取得しています。
ログを確認したところ、「0123abcd」というユーザーが作成/削除されています。
ログ生成時には、ユーザの作成/削除操作を行っておりません。
これはなぜ作成/削除されたのでしょうか?
セキュリティ的に問題がないかを確認したいです。
どう対応すればいいの?
AWS Managed Microsoft AD は、組み込み管理者パスワードを、90 日ごとにローテーションします。
パスワードのローテーションに失敗した場合のバックアップのため、一時アカウントとして「<ランダムな文字列>」といったユーザーが作成されます。
正常に組み込み管理者パスワードがローテーションされたあと、一時アカウント「<ランダムな文字列>」は削除されます。
そのため、特にユーザーへの影響はございませんので、ご安心ください。
参考資料
管理者アカウント - AWS Directory Service
AWS は、組み込み管理者パスワードを 90 日ごとにランダムなパスワードに自動的にローテーションします。ユーザーが使用するために組み込みの管理者パスワードがリクエストされると、AWS チケットが作成され、AWS Directory Service チームによってログに記録されます。アカウントの認証情報は暗号化され、安全なチャネルで処理されます。また、管理者アカウントの認証情報をリクエストできるのは、AWS Directory Service 管理チームだけです。
ディレクトリの運用管理を実行するために、AWS では、エンタープライズ管理者およびドメイン管理者の特権を持つアカウントを排他的に管理しています。この管理には、AD 管理者アカウントの排他的な制御が含まれます。AWS は、パスワードボールトを使用してパスワード管理を自動化することで、このアカウントを保護します。管理者パスワードの自動ローテーション中に、AWS は一時的なユーザーアカウントを作成し、そのアカウントにドメイン管理者の特権を付与します。この一時アカウントは、管理者アカウントでパスワードのローテーションが失敗した場合のバックアップとして使用されます。AWS が管理者パスワードのローテーションを正常に完了したら、AWS は管理者の一時アカウントを削除します。
3
