【アップデート】AWS Verified Accessで信頼されたプロバイダーのログが記録されるようになりました

こんばんは。小寺です。
AWS Verified Accessでログ記録のアップデートがありました。
https://aws.amazon.com/about-aws/whats-new/2023/06/aws-verified-access-logging-functionality/

AWS Verified Accessとは

VPC 内のプライベートなアプリケーションに信頼されたIdpを使って、構成されたポリシーをクリアしている場合など一定条件を満たしているとパブリックなエンドポイントへアクセスができるサービスです。
もう一度、おさらいAWS Verified Accessの構成要素

Using Verified Access to authenticate an application request from a user. — https://docs.aws.amazon.com/verified-access/latest/ug/how-it-works.htmlより引用

・検証済みアクセスインスタンス
インスタンスはアプリケーションのリクエストを評価し、セキュリティ要件が満たされた場合にのみアクセスを許可します。

・Verified Access エンドポイント
各エンドポイントはアプリケーションを表します。ロードバランサーエンドポイントまたはネットワークインターフェイスエンドポイントを作成できます。

・認証済みアクセスグループ
認証済みアクセスエンドポイントのコレクション。ポリシー管理を簡素化するために、同様のセキュリティ要件を持つアプリケーションのエンドポイントをグループ化することをお勧めします。たとえば、すべての販売アプリケーションのエンドポイントをグループ化できます。

・アクセスポリシー
アプリケーションへのアクセスを許可するか拒否するかを決定するユーザー定義のルールのセット。
ユーザー ID やデバイスのセキュリティ状態などの要素の組み合わせを指定できます。認証済みアクセスグループごとにグループアクセスポリシーを作成し、グループ内のすべてのエンドポイントに継承されます。
オプションで、アプリケーション固有のポリシーを作成し、特定のエンドポイントにアタッチできます。

・信頼プロバイダー
Verified Access は、AWS とサードパーティの信頼プロバイダーの両方で動作します。各 Verified Access インスタンスに少なくとも 1つの信頼されたIdpをアタッチする必要があります。
単一の ID トラストプロバイダーと複数のデバイストラストプロバイダーを各 Verified Accessインスタンスにアタッチできます。

・信頼データ
信頼プロバイダーが Verified Access に送信するユーザーまたはデバイスのセキュリティ関連データ。ユーザークレームまたはトラストコンテキストと呼ばれます。
たとえば、ユーザーの電子メールアドレスやデバイスのオペレーティングシステムのバージョンなどです。
Verified Access は、アプリケーションへのアクセスリクエストがあれば、アクセスポリシーと照合してデータを評価します。

アップデート内容

ログの出力機能が改善されました。信頼されたIdpのログについて、アプリケーションアクセスポリシーの作成とトラブルシューティングが簡単にできるようになりました。
サードパーティサービスから受信したすべてのエンドユーザーコンテキストがログに記録できるようになっています。

本アップデート前までは、ログにはユーザーの名前、電子メールアドレス、デバイスの OS などの限られたエンドユーザーコンテキストが残っていました。
ただ、制限として大量のログ取り込みには、サードパーティ側からの確認が必要でした。
本アップデートからは、信頼されたプロバイダーのすべてのエンドユーザーコンテキストをログに記録できるため、別のソースからログ取得する必要がなくなります。