メニュー
AWS CloudFormation
ユーザーガイド (API Version 2010-05-15)

AWS CloudTrail での AWS CloudFormation API 呼び出しのログ記録

AWS CloudFormation には AWS CloudTrail が統合されています。AWS CloudTrail は、AWS アカウント、またはその代理によって行われた API 呼び出しをキャプチャするサービスです。この情報が集められ、指定した Amazon S3 バケットに保存されるログファイルに書き込まれます。API 呼び出しは、AWS CloudFormation API、AWS CloudFormation コンソール、バックエンドコンソール、または AWS CLI の使用時にログに記録されます。CloudTrail によって収集された情報を使用して、AWS CloudFormation に対してどのようなリクエストが行われたかを判断することができます。リクエストの作成元のソース IP アドレス、リクエストの実行者、リクエストの実行日時などです。

CloudTrail の詳細 (設定して有効にする方法など) については、AWS CloudTrail User Guideを参照してください。

CloudTrail 内の AWS CloudFormation 情報

CloudTrail ログ記録をオンにすると、すべての AWS CloudFormation アクションに対して行われた呼び出しが、ログファイルにキャプチャされます。すべての AWS CloudFormation アクションは、AWS CloudFormation API Referenceに記載されています。たとえば、CreateStackDeleteStack、および ListStacks アクションの呼び出しにより、CloudTrail ログファイルにエントリが生成されます。

各ログエントリには、誰がリクエストを生成したかに関する情報が含まれます。たとえば、AWS CloudFormation スタック (ListStacks) をリストするリクエストが行われた場合、CloudTrail は、リクエストを作成した人物またはサービスのユーザー ID をログに記録します。ユーザー ID 情報は、リクエストが、ルートまたは IAM ユーザーの認証情報を使用して送信されたか、ロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して送信されたか、あるいは別の AWS サービスによって送信されたかを確認するのに役立ちます。CloudTrail フィールドの詳細については、AWS CloudTrail User Guideの「CloudTrail イベントリファレンス」を参照してください 。

必要な場合はログファイルを自身の バケットに保管できますが、ログファイルを自動的にアーカイブまたは削除するように Amazon S3 ライフサイクルルールを定義することもできます。デフォルトでは Amazon S3 のサーバー側の暗号化 (SSE) を使用して、ログファイルが暗号化されます。

AWS CloudFormation ログファイルエントリの概要

CloudTrail ログファイルには、複数の JSON フォーマットされたイベントから成る、1 つ以上のログエントリを含めることができます。ログエントリは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、入力パラメータ、アクションの日時などに関する情報が含まれます。ログエントリは、特定の順序で表示されません。つまり、パブリック API 呼び出しの順序付けたスタック トレースを表しません。

次のサンプルレコードは、CreateStack アクションの CloudTrail ログエントリを示します。アクションは Alice という IAM ユーザーによって行われました。

注記

入力パラメーターのキー名のみがログに記録されます。パラメーター値は記録されません。

Copy
{ "eventVersion": "1.01", "userIdentity": { "type": "IAMUser", "principalId": "AIDAABCDEFGHIJKLNMOPQ", "arn": "arn:aws:iam::012345678910:user/Alice", "accountId": "012345678910", "accessKeyId": "AKIDEXAMPLE", "userName": "Alice" }, "eventTime": "2014-03-24T21:02:43Z", "eventSource": "cloudformation.amazonaws.com", "eventName": "CreateStack", "awsRegion": "us-east-1", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "templateURL": "https://s3.amazonaws.com/Alice-dev/create_stack", "tags": [ { "key": "test", "value": "tag" } ], "stackName": "my-test-stack", "disableRollback": true, "parameters": [ { "parameterKey": "password" }, { "parameterKey": "securitygroup" } ] }, "responseElements": { "stackId": "arn:aws:cloudformation:us-east-1:012345678910:stack/my-test-stack/a38e6a60-b397-11e3-b0fc-08002755629e" }, "requestID": "9f960720-b397-11e3-bb75-a5b75389b02d", "eventID": "9bf6cfb8-83e1-4589-9a70-b971e727099b" }

次のサンプルレコードは、Alice が my-test-stack スタックの UpdateStack アクションを呼び出したことを示しています。

Copy
{ "eventVersion": "1.01", "userIdentity": { "type": "IAMUser", "principalId": "AIDAABCDEFGHIJKLNMOPQ", "arn": "arn:aws:iam::012345678910:user/Alice", "accountId": "012345678910", "accessKeyId": "AKIDEXAMPLE", "userName": "Alice" }, "eventTime": "2014-03-24T21:04:29Z", "eventSource": "cloudformation.amazonaws.com", "eventName": "UpdateStack", "awsRegion": "us-east-1", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "templateURL": "https://s3.amazonaws.com/Alice-dev/create_stack", "parameters": [ { "parameterKey": "password" }, { "parameterKey": "securitygroup" } ], "stackName": "my-test-stack" }, "responseElements": { "stackId": "arn:aws:cloudformation:us-east-1:012345678910:stack/my-test-stack/a38e6a60-b397-11e3-b0fc-08002755629e" }, "requestID": "def0bf5a-b397-11e3-bb75-a5b75389b02d", "eventID": "637707ce-e4a3-4af1-8edc-16e37e851b17" }

次のサンプルレコードは、Alice がListStacks アクションを呼び出したことを示しています。

Copy
{ "eventVersion": "1.01", "userIdentity": { "type": "IAMUser", "principalId": "AIDAABCDEFGHIJKLNMOPQ", "arn": "arn:aws:iam::012345678910:user/Alice", "accountId": "012345678910", "accessKeyId": "AKIDEXAMPLE", "userName": "Alice" }, "eventTime": "2014-03-24T21:03:16Z", "eventSource": "cloudformation.amazonaws.com", "eventName": "ListStacks", "awsRegion": "us-east-1", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": null, "responseElements": null, "requestID": "b7d351d7-b397-11e3-bb75-a5b75389b02d", "eventID": "918206d0-7281-4629-b778-b91eb0d83ce5" }

次のサンプルレコードは、Alice が my-test-stack スタックの DescribeStacks アクションを呼び出したことを示しています。

Copy
{ "eventVersion": "1.01", "userIdentity": { "type": "IAMUser", "principalId": "AIDAABCDEFGHIJKLNMOPQ", "arn": "arn:aws:iam::012345678910:user/Alice", "accountId": "012345678910", "accessKeyId": "AKIDEXAMPLE", "userName": "Alice" }, "eventTime": "2014-03-24T21:06:15Z", "eventSource": "cloudformation.amazonaws.com", "eventName": "DescribeStacks", "awsRegion": "us-east-1", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "stackName": "my-test-stack" }, "responseElements": null, "requestID": "224f2586-b398-11e3-bb75-a5b75389b02d", "eventID": "9e5b2fc9-1ba8-409b-9c13-587c2ea940e2" }

次のサンプルレコードは、Alice が my-test-stack スタックの DeleteStack アクションを呼び出したことを示しています。

Copy
{ "eventVersion": "1.01", "userIdentity": { "type": "IAMUser", "principalId": "AIDAABCDEFGHIJKLNMOPQ", "arn": "arn:aws:iam::012345678910:user/Alice", "accountId": "012345678910", "accessKeyId": "AKIDEXAMPLE", "userName": "Alice" }, "eventTime": "2014-03-24T21:07:15Z", "eventSource": "cloudformation.amazonaws.com", "eventName": "DeleteStack", "awsRegion": "us-east-1", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "stackName": "my-test-stack" }, "responseElements": null, "requestID": "42dae739-b398-11e3-bb75-a5b75389b02d", "eventID": "4965eb38-5705-4942-bb7f-20ebe79aa9aa" }