はじめに

本ページは個人の勉強で使用することを目的に作成しておりますが、記載の誤り等が含まれる場合がございます。
最新の情報についてはAWS公式ドキュメントをご参照ください。

やること

• AWS CloudTrailコンソールから、サインインに関するConsoleLoginのイベント履歴を検索する。
• サインインするリージョンを変更し、リージョンごとのConsoleLoginイベント履歴を検索する。

※ConsoleLoginイベントがリージョンごとのイベントであり、サインインリージョンが未指定の場合は最もレイテンシーの小さいリージョン経由でサインインするため。

• サインインURLにクエリパラメータでリージョンを指定してサインインする。

前提条件

• CloudTrailの管理イベントの証跡が作成済みであること。

1. CloudTrailイベント履歴の検索

1. AWSにログインし、画面右上から東京リージョンを選択します。

2. CLoudTrailコンソールのナビゲーションペインからイベント履歴をクリックします。

3. イベント履歴画面で以下の設定値を入力し、Enterキーをクリックします。

• ルックアップ属性：イベント名
  • ConsoleLogin ※IAMユーザーのAWSアカウントへのログイン
• 日付と時刻でフィルタリング：未設定

4. イベント名ConsoleLoginに該当するイベントが一覧表示されます。

• 東京リージョンのイベントのみ表示
  

5. イベント名のリンクをクリックすると、イベントの詳細・参照されたリソース・イベントレコードが表示されます。
   
   

2. リージョンごとにイベントを確認

1. 手順1の状態で画面右上からリージョンをバージニア北部に変更します。
   

2. バージニア北部リージョンで記録されたConsoleLoginイベントが一覧表示されます。

• バージニア北部リージョンのイベントのみ表示

3. リージョンを指定してサインインする

1. ログアウト後、以下のURLから再度ログインします。

https://${アカウントのエイリアス}.signin.aws.amazon.com/console?region=ap-south-1

※ap-south-1(ムンバイ)：※他にログインした履歴が無かったので

2. CloudTrailのイベント履歴からムンバイリージョンにConsoleLoginのイベントが記録されています。
   

おわりに

• CloudTrailコンソールのイベント履歴には管理イベントのみ表示され、また検索できるのは90日以内のものになる。
• ConsoleLoginなど、リージョンごとのイベントを取得したい場合は以下のような選択肢がある。
  • Athena + S3：低コスト。
  • CloudWatch Logs：高コスト。CloudWatch Ararmなど他サービスとの連携が容易。
  • CloudTrailLake：高コスト。AWS Organization組織内のアカウントのログを検索できる。

参考

• CloudTrailの証跡作成~S3バケットへの保存

https://zenn.dev/smori/articles/47314b756254aa

• CloudTrailイベント履歴

https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/view-cloudtrail-events.html

• マネジメントコンソールのサインインイベント

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html