前置き
GuardDutyでrootユーザのログインを検知して、CloudTrailでイベント名「ConsoleLogin」でログイン証跡を探していましたが、見つかりませんでした。
結論
Global Service Eventsは、バージニア北部(us-east-1)のCloudtrailに保存される仕様である。
Global Service Eventsとは
以下のサービスなど
- AWS Identity and Access Management (IAM)
- AWS STS (Security Token Service)
- Amazon CloudFront
- AWS Route 53
- AWS Console Sign-in Events (rootユーザー含む)
- Certificate Manager operations