ここでは、RAM コンソールでユーザー資格情報レポート (Alibaba Cloud アカウントおよび RAM ユーザーの資格情報の詳細を含む) を生成およびダウンロードする方法について説明します。 資格情報の詳細には、パスワード、AccessKey ペア、および多要素認証 (MFA) デバイスが含まれます。 資格情報レポートは、コンプライアンスチェックと監査に使用できます。

手順

  1. AliyunRAMFullAccess ポリシーがアタッチされている RAM ユーザーまたは Alibaba Cloud アカウントとして RAM コンソールにログインします。
  2. 左側のナビゲーションペインから [概要] をクリックします。
  3. [セキュリティチェック] セクションで [ユーザー資格情報レポートのダウンロード] をクリックします。
  4. ユーザー資格情報レポートが生成されたら [ダウンロード] をクリックします。
    ユーザー資格情報レポートの生成に必要な時間は、現在の Alibaba Cloud アカウントの RAM ユーザーの数に依存します。 レポートの生成に長い時間が必要な場合は、[後でダウンロード] をクリックすることもできます。 コンマ区切り値 (CSV) 形式の新しい資格情報レポートは、4 時間の間隔を置けば生成できます。 レポートのダウンロード要求を送信すると、RAM は最初に、過去 4 時間以内にレポートが生成されたかどうかを確認します。 最新のレポートが過去 4 時間以内に生成されたものであった場合、そのレポートがダウンロードされます。 最新のレポートが 4 時間前に生成されたものであった場合、または以前のレポートが生成されていなかった場合、RAM は新しいレポートを生成します。

タスクの結果

次の表に、ユーザー資格情報レポートに含まれるフィールドを示します。

フィールド 説明
user username@company-alias.onaliyun.com Alibaba Cloud ユーザーのユーザー名。 CSV ファイルの最初の行の値は <root> で、これは Alibaba Cloud アカウントを示します。 残りの行の値は Alibaba Cloud アカウントの RAM ユーザーのユーザー名で、値はユーザープリンシパル名 (UPN) 形式です。
user_creation_time 2019-11-11T12:33:18Z Alibaba Cloud ユーザーが作成された時刻。
時刻を ISO 8601 規格の形式 (YYYY-MM-DDThh:mm:ssZ) で指定します。 時間は UTC である必要があります。
user_last_logon 2019-11-11T12:45:18Z RAM ユーザーが最後に RAM コンソールにログインした時刻。
RAM ユーザーは、パスワードまたはシングルサインオン (SSO) を使用して RAM コンソールにログインできます。 RAM ユーザーが一度も RAM コンソールにログインしたことがない場合、このフィールドの値は - になります。
password_exist TRUE RAM コンソールにログインするためのパスワードが使用可能かどうかを示します。 有効な値は TRUE および FALSE です。
  • RAM ユーザーの値は、RAM ユーザーのログイン設定によって決まります。 ログイン設定が見つかった場合、値は TRUE です。 それ以外の場合は FALSE です。
  • Alibaba Cloud アカウントの値は常に TRUE です。
Resource Management コンソールの [リソースディレクトリ] ページで作成されたリソースアカウントを使用する場合、パスワード関連情報を表示することはできますが、 パスワードを使用して RAM コンソールにログインすることはできません。
password_active N/A パスワードがアクティブかどうかを示します。 有効な値は TRUEFALSE、および N/A です。
  • RAM ユーザーのログイン設定が見つからない場合、RAM ユーザーの値は N/A です。
  • Alibaba Cloud アカウントの値は常に N/A です。
password_last_changed 2019-11-11T12:50:18Z 最後にパスワードが変更された時刻。 RAM ユーザーのログイン設定が見つからない場合、RAM ユーザーの値は N/A です。
RAM は、2016 年 4 月 5 日以降に行われた変更を記録します。 この日付以前にパスワードが変更された場合、このフィールドの値は N/A になります。ユーザー資格情報レポートには、レポート生成時刻までの期間で行われた変更が含まれない場合があります。 この期間は約 24 時間ですが、実際の時間はシナリオによって異なる場合があります。
password_next_rotation 2019-11-13T12:50:18Z Alibaba Cloud ユーザーがパスワードローテーションポリシーに基づいて新しいパスワードを設定する必要がある時刻。
  • パスワードが永続的に有効であり、パスワードのローテーションが不要な場合、値は - になります。
  • RAM ユーザーのログイン設定が見つからない場合、RAM ユーザーの値は N/A です。
  • Alibaba Cloud アカウントの値は常に N/A です。
mfa_active TRUE MFA デバイスを有効にするかどうかを示します。 有効な値は TRUEFALSE、および N/A です。RAM ユーザーのログイン設定が見つからない場合、RAM ユーザーの値は N/A になります。
access_key_1_exist TRUE 最初の AccessKey ペアが存在するかどうかを示します。 有効な値は TRUE および FALSE です。
access_key_1_active TRUE 最初の AccessKey ペアがアクティブかどうかを示します。 有効な値は TRUEFALSE、および N/A です。AccessKey ペアが作成されていない場合、値は N/A です。
access_key_1_last_rotated 2019-11-11T12:50:18Z 最初の AccessKey ペアが作成された時刻、または最後に変更された時刻。 AccessKey ペアが作成されていない場合、値は N/A になります。
access_key_1_last_used 2019-11-13T12:50:18Z 最初の AccessKey ペアが最後に使用された時刻。
  • RAM がこの情報の追跡を開始した後、一度も AccessKey ペアが使用されていない場合、値は - になります。
  • AccessKey ペアが作成されていない場合、値は N/A になります。
RAM は、2019 年 6 月 1 日から AccessKey ペアの最終使用時刻の追跡を開始しました。 ユーザー資格情報レポートには、レポート生成時間までの期間の AccessKey ペアの使用記録が含まれない場合があります。 期間は約 2 時間ですが、実際の時間はシナリオによって異なる場合があります。
access_key_2_exist TRUE 2 番目の AccessKey ペアが存在するかどうかを示します。 有効な値は TRUE および FALSE です。
access_key_2_active TRUE 2 番目の AccessKey ペアがアクティブかどうかを示します。 有効な値は TRUEFALSE、および N/A です。AccessKey ペアが作成されていない場合、値は N/A です。
access_key_2_last_rotated 2019-11-11T12:50:18Z 2 番目の AccessKey ペアが作成された時刻、または最後に変更された時刻。 AccessKey ペアが作成されていない場合、値は N/A になります。
access_key_2_last_used 2019-11-13T12:50:18Z 2 番目の AccessKey ペアが最後に使用された時刻。
  • RAM がこの情報の追跡を開始した後、一度も AccessKey ペアが使用されていない場合、値は - になります。
  • AccessKey ペアが作成されていない場合、値は N/A になります。
RAM は、2019 年 6 月 1 日から AccessKey ペアの最終使用時刻の追跡を開始しました。 ユーザー資格情報レポートには、レポート生成時間までの期間の AccessKey ペアの使用記録が含まれない場合があります。 期間は約 2 時間ですが、実際の時間はシナリオによって異なる場合があります。
現在、Alibaba Cloudユーザーは RAM コンソールで最大 2 つの AccessKey ペアを作成できます。 この制限が有効になる前には、3 つ以上の AccessKey ペアを作成可能でした。 そのため、Alibaba Cloud ユーザーの中には 2 つを超える AccessKey ペアを持つものもあります。 追加の AccessKey ペアに関する情報は、CSV ファイルの最後の列に記述されています。 これらの列の名前は、additional_access_key_ から始まります。