AWS Management Console (IAM)の制約

No

制約

制約機能

ID

ログ

1

AWS側でリージョンが無効に設定されている場合は、そのリージョンのログを収集しません。

-

〇

2

特定のリージョンに接続出来ない場合は、他のリージョンからもログは取得されません。
そのため、もしもメンテナンス等で接続出来ないリージョンがある場合は、その間ログ収集はされません。
接続出来るようになってから、その間のログも含めログ収集されるようになります。

-

〇

3

AWS Management Console (IAM)のログには、ログアウト情報が含まれません。
そのため、特権IDの利用点検レポート、および、アクセス履歴レポートでは、ログアウト時間は"ログアウト情報なし"と表示されます。

-

〇

4

AWS Management Console (IAM)の仕様により、ログは最大15分間取得する事が出来ません。
そのため、ログ収集時刻から15分前までのログは、レポートに反映されません。

-

〇

5

iDoperationはAWS Management Console (IAM)のターゲットをIPアドレスではなく、AWSアカウントIDで識別します。
そのため、レポートのターゲットIPアドレスの項目は、AWSアカウントIDが表示されます。

-

〇

6

ルートアカウントはID管理出来ません。

〇

-

7

AWS Management Console (IAM)の仕様により、下記の場合にログイン失敗のログは出力されません。そのため、ログイン失敗履歴レポートにそのログイン失敗は表示されません。

• アカウント誤り（存在しないアカウントへのログイン）でのログイン失敗
• ルートアカウントでのログイン失敗

-

〇

8

AWS Management Console (IAM)のログイン失敗ログには、ログインの失敗理由が含まれません。
そのため、ログイン失敗履歴レポートでは、ログインの失敗理由は表示されません。

-

〇

9

AWS Management Console (IAM)ターゲットに「AWSアカウントエイリアス」を登録している場合、通常レポートで「AWSアカウントエイリアス」がターゲットのIPアドレス/ホスト名の項目に出力されますが、特権IDの利用点検レポートとアクセス履歴レポートでスイッチロールのアクセスについては、「AWSアカウントエイリアス」ではなく「AWSアカウントID」が出力されます。
ターゲット管理で「AWSアカウントエイリアス」を登録せずに「AWSアカウントID」のみを登録することで、出力される内容を「AWSアカウントID」に統一することができます。

-

〇