MENU
実践で学ぶ資格学習メディ
  1. ホーム
  2. セキュリティ
  3. AWS マネジメントコンソールへのサインインイベントの記録場所

AWS マネジメントコンソールへのサインインイベントの記録場所

セキュリティ
目次

概要

AWS マネジメントコンソールへのサインインイベント(ConsoleLogin)は、CloudTrail によって記録されますが、記録されるリージョンはユーザータイプとサインイン方法によって異なります

サインイン失敗を監視するためには、イベントが記録されるリージョンを正確に把握し、適切なリージョンで監視設定を行う必要があります。本記事では、サインインイベントがどのリージョンに記録されるのかを、実際の動作確認を通じて解説します。

サインイン失敗通知が必要な理由

セキュリティインシデントの早期検知

サインイン失敗の通知を設定することで、ブルートフォース攻撃や不正アクセスの試行を早い段階で検知できます。特に、短時間で複数回のサインイン失敗が発生した場合、攻撃者による不正アクセスの可能性が高いため、迅速な対応が必要になります。

不正アクセスの防止

通知を受け取ることで、攻撃が成功する前に対策を講じることができます。
例えば、特定のIPアドレスからの連続した失敗を検知した場合、そのIPアドレスをブロックしたり、該当する IAM ユーザーのパスワードを変更したりといった対応が可能です。

イベントが記録されるリージョンについて

サインインイベントの記録場所

AWS マネジメントコンソールへのサインインイベント(ConsoleLogin)が記録されるリージョンは、ユーザータイプとサインイン方法によって異なり、公式ドキュメントにはこのように記載されています。(https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html

  • ルートユーザーとしてサインインすると、CloudTrail はイベントを us-east-1 に記録します。
  • IAM ユーザーでサインインし、グローバルエンドポイントを使用すると、CloudTrail は ConsoleLogin イベントのリージョンを次のように記録します。アカウントエイリアスの Cookie がブラウザに存在する場合、CloudTrail は us-east-2、eu-north-1、ap-southeast-2 のいずれかのリージョンに ConsoleLogin イベントを記録します。これは、コンソールプロキシが、ユーザーのサインイン場所からのレイテンシーに基づいてユーザーをリダイレクトするためです。アカウントエイリアスの Cookie がブラウザに存在しない場合、CloudTrail は ConsoleLogin イベントを us-east-1 に記録します。これは、コンソールプロキシがグローバルサインインにリダイレクトされるためです。
  • IAM ユーザーでサインインし、リージョンエンドポイントを使用している場合、CloudTrail は ConsoleLogin イベントをそのエンドポイントの適切なリージョンに記録します。AWS サインイン エンドポイントの詳細については、「AWS サインイン エンドポイントとクォータ」を参照してください。

IAMユーザでログイン&Cookieありの場合

https://aws.amazon.com/jp/console/にある「コンソールにサインイン」からサインイン画面を表示します。

その際のURLを確認するとap-southeast-2となっておりドキュメント上のこの部分になります。

アカウントエイリアスの Cookie がブラウザに存在する場合、CloudTrail は us-east-2、eu-north-1、ap-southeast-2 のいずれかのリージョンに ConsoleLogin イベントを記録します。これは、コンソールプロキシが、ユーザーのサインイン場所からのレイテンシーに基づいてユーザーをリダイレクトするためです。

リダイレクト先は、サインイン場所からのレイテンシーに基づいているため、日本からアクセスしているので、他と比べて地理的に近いシドニーリージョンにリダイレクトされ、イベントもシドニーリージョンに記録されます。

レイテンシーに基づいているため、日本にいるから必ずシドニーというわけではありません。

少なくとも、ap-southeast-2(シドニー)、us-east-2(オハイオ)、eu-north-1(ストックホルム)とこのあと説明するrootユーザようにus-east-1(バージニア北部)ではログインイベントの監視をしておくのが良いでしょう。

rootユーザまたは、IAMユーザかつCookieなしの場合

Sign in using root user emailをクリックするとURLが変更され、リージョンの記載がなくなりました。

この画面からログインした時は、us-east-1リージョンにCloudTrailのログが記録されます。

アカウントエイリアスの Cookie がブラウザに存在しない場合、CloudTrail は ConsoleLogin イベントを us-east-1 に記録します。これは、コンソールプロキシがグローバルサインインにリダイレクトされるためです。

試験での出題ポイント

サインインイベントの記録場所に関しては必要な情報を得るためにどのリージョンで設定するかが重要になります。

  • 「サインイン失敗を監視したいが、どのリージョンで監視設定を行うべきか」 → 複数リージョンでの監視が必要であることを理解しているか
  • 「ルートユーザーと IAM ユーザーで記録場所が異なる」 → ユーザータイプによる記録場所の違いを理解しているか

試験では、「サインイン失敗を監視したい」という要件に対して、単一リージョンでの監視では不十分であることを理解し、複数リージョンでの監視設定が必要であることを判断できるかが問われます。

また、「ルートユーザーは常に us-east-1」「IAM ユーザーの場合はサインイン方法によって記録リージョンが変わる」という点を理解しているかも重要なポイントです。

まとめ

AWS マネジメントコンソールへのサインインイベントの記録場所は、ユーザータイプとサインイン方法によって複雑に変化します。ルートユーザーは常に us-east-1 ですが、IAM ユーザーの場合は複数のリージョンに分散して記録される可能性があるため、包括的な監視を行うには複数リージョンでの監視設定が必要です。

サインイン失敗を監視する際は、少なくとも us-east-1us-east-2eu-north-1ap-southeast-2 の 4リージョンでの監視を設定し、組織で使用しているリージョンエンドポイントがある場合は、そのリージョンも監視対象に追加することが重要です。

セキュリティ
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

土肥 康太郎のアバター 土肥 康太郎

株式会社Luxy(https://luxy-inc.com)の代表取締役.

2018年〜インフラエンジニアとしてキャリアをスタートし、オンプレミスのネットワーク・サーバ環境で3年半、クラウド環境で4年半の8年間エンジニアとして従事。
2021年に佐藤氏の創業した会社を引き継ぎ、代表に就任。

関連記事

コメント

コメントする

目次