CloudTrailで特定のユーザーの行動を見よう!

こんにちは、エンジニアのありんこです。

年始からCircleCIでインシデントが発生して、Deploy keyやAWSのアクセスキーをローテーションしたりなど何かしら対応された方も多いのではないでしょうか?

弊社でもCircleCIを使用しているプロジェクトがいくつかあり、プロジェクトごとに環境変数を更新する等の対応を行いました。

その中でアクセスキーが不正使用されていないか確認する必要があり、その際にCloudTrailを使用したので簡単にその使用方法をまとめたいと思います。

履歴を確認したいユーザーの特定

AWS マネジメントコンソールでIAMを開きます。
左メニューのアクセス管理 > ユーザーを選択します。

するとユーザーの一覧が表示されます。

今回はユーザー名 circleci_user を使用して検索していきます。 image.png (55.8 kB)

イベント履歴検索

AWSマネジメントコンソールでCloudTrailを開きます。 左メニューのイベント履歴を選択します。

イベント履歴が表示されていると思います。

今回はユーザー名で検索するので、ルックアップ属性にユーザー名、ユーザー名に検索したいユーザー名を入力して検索します。

image.png (40.1 kB)

するとそのユーザーのイベント履歴が表示されます。

image.png (116.7 kB)

まとめ

自分はCloudTrailの存在は知っていましたが、使用したことはありませんでした。
使ってみるととても簡単だったので、機会があればどんどん使っていこうと思います。

より詳しく知りたい方は、ユーザーガイドにより詳しく書いてあるのでそちらをご覧ください。

docs.aws.amazon.com

※ CloudTrailもリージョンごとに分かれているので、検索しても何も履歴が出ない時はリージョンを確認してください。
自分はコレで5分くらい迷っていました笑