Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
keyaki80
November 08, 2025
42
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い
keyaki80
November 08, 2025
More Decks by keyaki80
See All by keyaki80
エンジニアのキャリアと品質_分岐する道と導く太陽
keyaki80
0
74
人類とAIの未来/ グレート・インバージョン
keyaki80
0
19
わからないもできませんも言えない未経験エンジニアがもう一度エンジニアになって考えたこと
keyaki80
0
19
吉日IOブッククラブの一年
keyaki80
1
250
Cockpitをはじめよう
keyaki80
0
99
Featured
See All Featured
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
440
Writing Fast Ruby
sferik
630
63k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
530
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
GraphQLとの向き合い方2022年版
quramy
50
15k
Statistics for Hackers
jakevdp
799
230k
Deep Space Network (abreviated)
tonyrice
0
210
Done Done
chrislema
186
16k
Building Applications with DynamoDB
mza
96
7.1k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
2k
Agile Actions for Facilitating Distributed Teams - ADO2019
mkilby
0
210
Transcript
CloudTrailで追う IAMユーザーと IAM Identity Center ログインの違い 佐々⽊ 健成(ささき けんせい) :@fullen789
・Cloudiiという会社で主にOracle Cloud の設計/構築を⾏っています ・現在、Oracle AI選⼿権に向けてOCI AIサービスと格闘中 ・個⼈で毎週読書会を開催しています ・次回AWSを設計する際は、IAM Identity Centerを採⽤したい︕ 2025/11/8 [IAMスペシャル︕] Security-JAWS【第39回】 勉強会 LT
注意事項 ・本資料は2025/10/27時点の仕様に基づき作成しています。 ・本資料のIdentity Centerは単⼀アカウント構成し、外部IdP連携は使⽤せず、 AWS Organizationsの管理アカウントからCloudTrailを参照しています。
アジェンダ 1. IAMユーザーログイン時のイベント 2. Identity Center(アクセスポータル)ログイン時のイベント 3. まとめ
IAMユーザーログイン時の画⾯遷移 コンソール ログイン画⾯ コンソール トップ画⾯ CloudTrailイベント
IAMユーザーログイン時のCloudTrailイベント AWSサービス群 ユーザ アカウント/パスワード⼊⼒ CheckMfa (MFA設定チェック) TOTPコード⼊⼒画⾯へ遷移 TOTPコード⼊⼒ ConsoleLogin (サインイン)
コンソールトップ画⾯へ遷移 コンソール ログイン画⾯ ユーザ操作/画⾯遷移 CloudTrailイベント名 時間 ※コンソールトップ画⾯表⽰⽤のイベント、イベントのレスポンスの⽮印は省略 パスワード⼊⼒時点では パスワードは検証されてない ConsoleLoginイベントに サインインの結果が含まれる "responseElements": { "ConsoleLogin": "Success" },
[アカウントID] アクセスポータル ログイン画⾯ アクセスポータル トップ画⾯ コンソール トップ画⾯ CloudTrailイベント1 CloudTrailイベント2 許可セット
Identity Centerログイン時の画⾯遷移
Identity Centerログイン時のCloudTrailイベント1 アクセスポータル ログイン画⾯ ユーザ名⼊⼒ CredentialChallenge (パスワード認証要求) パスワード⼊⼒画⾯へ遷移 パスワード⼊⼒ TOTPコード⼊⼒画⾯へ遷移
TOTPコード⼊⼒ アクセスポータルトップ画⾯へ遷移 CredentialVerification (パスワード検証) CredentialChallenge (TOTP認証要求) CredentialVerification (TOTP検証) UserAuthentication (ログイン) Authenticate (認証完了記録) AWSサービス群 ユーザ CredentialVerificationイベントで パスワードとTOTPを個別に検証 フィールドに検証結果を含む 検証が問題なければ UserAuthenticationイベントが記 録されてログイン成功 検証失敗なら記録されない ※ポータルトップ画⾯表⽰⽤のイベントは省略、イベントのレスポンスの⽮印は省略 "serviceEventDetails": { "CredentialVerification": "Success" },
Identity Centerログイン時のCloudTrailイベント2 アカウント/許可セット選択 Federate (アカウント/許可セット指定) ConsoleLogin (ログイン) コンソールトップ画⾯へ遷移 GetSigninToken (サインイントークン取得)
AssumeRoleWithSAML (⼀時認証情報取得) アクセスポータル トップ画⾯ AWSサービス群 同⼀秒にイベントが発⽣するため イベントの発⽣順について不明確 イベントの内容や仕様ベースで記載 ConsoleLoginイベントも記録される ※ポータルトップ画⾯表⽰⽤のイベントは省略、イベントのレスポンスの⽮印は省略 ユーザ "responseElements": { "ConsoleLogin": "Success" }, 同時刻に発⽣ 出⼒順不同
IAM IdentityCenterのアクセスポータルログイン ・IAMユーザーログインとCloudTrailのイベント履歴が⼤きく異なる。 ・CredentialVerificationイベントで、認証成功/失敗を把握できる。 まとめ ご清聴ありがとうございました!
Your Podcast. Everywhere. Effortlessly.
keyaki80
marktimemedia
sferik
tanoku
quramy
jakevdp
tonyrice
chrislema
mza
eileencodes
aleyda
mkilby
![[アカウントID] アクセスポータル ログイン画⾯ アクセスポータル トップ画⾯ コンソール トップ画⾯ CloudTrailイベント1 CloudTrailイベント2 許可セット](https://files.speakerdeck.com/presentations/a1f6e8cddb17454a8a23256816a22707/slide_5.jpg){kind=link}
