CloudTrail の概念

このセクションでは、 に関連する基本概念をまとめます CloudTrail。

CloudTrail イベント

のイベント CloudTrail は、 AWS アカウント内のアクティビティの記録です。このアクティビティは、IAM アイデンティティによって実行されるアクション、または によってモニタリング可能なサービスにすることができます CloudTrail。 CloudTrail イベントは、、 AWS SDKs AWS Management Console、コマンドラインツール、およびその他の AWS サービスを通じて行われた API と非 API アカウントアクティビティの両方の履歴を提供します。

CloudTrail ログファイルはパブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。

CloudTrail は 3 種類のイベントを記録します。

• 管理イベント

• データイベント

• Insights イベント

すべてのイベントタイプは CloudTrail JSON ログ形式を使用します。

デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。

と AWS のサービス の統合方法については、 CloudTrail「」を参照してくださいAWS のサービストピック CloudTrail。

管理イベント

管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。

管理イベントには、次のようなものがあります。

• セキュリティの設定 (API AWS Identity and Access Management AttachRolePolicyオペレーションなど）。

• デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション)。

• データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション)。

• ログ記録の設定 (API AWS CloudTrail CreateTrailオペレーションなど）。

管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、 はConsoleLoginイベントを CloudTrail ログに記録します。詳細については、「によってキャプチャされた非 API イベント CloudTrail」を参照してください。

デフォルトでは、 CloudTrail 証跡と CloudTrail Lake イベントデータストアは管理イベントをログに記録します。管理イベントのログ記録の詳細については、「」を参照してください管理イベントのログ記録。

データイベント

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。

データイベントには、次のようなものがあります。

• S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (GetObject、DeleteObject、および PutObject API オペレーションなど）。 S3

• AWS Lambda 関数実行アクティビティ (InvokeAPI)。

• CloudTrail PutAuditEvents 外部からのイベントをログに記録するために使用される CloudTrail Lake チャネルでの アクティビティ AWS。

• トピックに関する Amazon SNS Publish および PublishBatch API オペレーション。

証跡およびイベントデータストアで使用できるデータイベントタイプは、以下の表のとおりです。[データイベントタイプ (コンソール)] 列には、コンソールで有効な選択項目が表示されます。resources.type 値列には、 AWS CLI または CloudTrail APIs を使用して、証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type値が表示されます。

証跡では、基本イベントセレクタまたはアドバンストイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (テーブルの最初の 3 行に表示) 内の Amazon S3 オブジェクトのデータイベントをログ記録できます。残りの行に表示されるデータイベントタイプをログに記録するには、高度イベントセレクタのみを使用できます。

イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。

AWS のサービス	説明	データイベントタイプ (コンソール)	resources.type 値
Amazon DynamoDB	テーブルに対する Amazon DynamoDB 項目レベルの API アクティビティ (、DeleteItem、および UpdateItem API PutItemオペレーションなど）。 注記 ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::Stream と AWS::DynamoDB::Table の両方が含まれます。resources.type に AWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するには、 eventNameフィールドにフィルターを追加します。	DynamoDB	AWS::DynamoDB::Table
AWS Lambda	AWS Lambda 関数実行アクティビティ (InvokeAPI)。	Lambda	AWS::Lambda::Function
Amazon S3	汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (GetObject、DeleteObject、および PutObject API オペレーションなど）。	S3	AWS::S3::Object
AWS AppConfig	StartConfigurationSession および の呼び出しなどの設定オペレーションの AWS AppConfig API アクティビティGetLatestConfiguration。	AWS AppConfig	AWS::AppConfig::Configuration
AWS B2B データ交換	GetTransformerJob および StartTransformerJob の呼び出しなど、Transformer 操作用の B2B データ交換 API アクティビティ。	B2B データ交換	AWS::B2BI::Transformer
Amazon Bedrock	エージェントエイリアスでの Amazon Bedrock API アクティビティ。	Bedrock エージェントエイリアス	AWS::Bedrock::AgentAlias
Amazon Bedrock	ナレッジベースでの Amazon Bedrock API アクティビティ。	Bedrock ナレッジベース	AWS::Bedrock::KnowledgeBase
Amazon CloudFront	CloudFront での API アクティビティKeyValueStore。	CloudFront KeyValueStore	AWS::CloudFront::KeyValueStore
AWS Cloud Map	名前空間 での AWS Cloud Map API アクティビティ。	AWS Cloud Map 名前空間	AWS::ServiceDiscovery::Namespace
AWS Cloud Map	サービス での AWS Cloud Map API アクティビティ。	AWS Cloud Map service	AWS::ServiceDiscovery::Service
AWS CloudTrail	CloudTrail PutAuditEvents 外部からのイベントをログに記録するために使用される CloudTrail Lake チャネルでの アクティビティ AWS。	CloudTrail チャンネル	AWS::CloudTrail::Channel
Amazon CloudWatch	メトリクスに対する Amazon CloudWatch API アクティビティ。	CloudWatch メトリクス	AWS::CloudWatch::Metric
Amazon CodeWhisperer	カスタマイズに対する Amazon CodeWhisperer API アクティビティ。	CodeWhisperer カスタマイズ	AWS::CodeWhisperer::Customization
Amazon CodeWhisperer	プロファイルの Amazon CodeWhisperer API アクティビティ。	CodeWhisperer	AWS::CodeWhisperer::Profile
Amazon Cognito	Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。	Cognito アイデンティティプール	AWS::Cognito::IdentityPool
Amazon DynamoDB	ストリームに対する Amazon DynamoDB API アクティビティ	DynamoDB Streams	AWS::DynamoDB::Stream
Amazon Elastic Block Store	Amazon EBS スナップショットの PutSnapshotBlock、GetSnapshotBlock、および ListChangedBlocks などの Amazon Elastic Block Store (EBS) ダイレクト API。	Amazon EBS ダイレクト API	AWS::EC2::Snapshot
Amazon EMR	ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。	EMR ログ先行書き込みワークスペース	AWS::EMRWAL::Workspace
Amazon FinSpace	環境に対する Amazon FinSpace API アクティビティ。	FinSpace	AWS::FinSpace::Environment
AWS Glue	AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。	Lake Formation	AWS::Glue::Table
Amazon GuardDuty	ディテクター の Amazon GuardDuty API アクティビティ。 https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail	GuardDuty ディテクター	AWS::GuardDuty::Detector
AWS HealthImaging	AWS HealthImaging データストアでの API アクティビティ。	MedicalImaging データストア	AWS::MedicalImaging::Datastore
AWS IoT	証明書 に対する AWS IoT API アクティビティ。	IoT 証明書	AWS::IoT::Certificate
AWS IoT	モノに対する AWS IoT API アクティビティ。	IoT モノ	AWS::IoT::Thing
AWS IoT Greengrass Version 2	コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ。 注記 Greengrass はアクセス拒否イベントを記録しません。	IoT Greengrass コンポーネントバージョン	AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2	デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ。 注記 Greengrass はアクセス拒否イベントを記録しません。	IoT Greengrass デプロイ	AWS::GreengrassV2::Deployment
AWS IoT SiteWise	アセット での IoT SiteWise API アクティビティ。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html	IoT SiteWise アセット	AWS::IoTSiteWise::Asset
AWS IoT SiteWise	時系列 での IoT SiteWise API アクティビティ。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html	IoT SiteWise 時系列	AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker	エンティティ での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateEntity.html	IoT TwinMaker エンティティ	AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker	ワークスペース での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateWorkspace.html	IoT TwinMaker ワークスペース	AWS::IoTTwinMaker::Workspace
Amazon Kendra インテリジェントランキング	リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。	Kendra ランキング	AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (Apache Cassandra 向け)	テーブルでの Amazon Keyspaces API アクティビティ。	Cassandra テーブル	AWS::Cassandra::Table
Amazon Kinesis Data Streams	ストリーム での Kinesis Data Streams API アクティビティ。	Kinesis ストリーム	AWS::Kinesis::Stream
Amazon Kinesis Data Streams	ストリームコンシューマー での Kinesis Data Streams API アクティビティ。	Kinesis ストリームコンシューマー	AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams	GetMedia および の呼び出しなど、ビデオストリームでの Kinesis Video Streams API アクティビティPutMedia。	Kinesis ビデオストリーム	AWS::KinesisVideo::Stream
Amazon Machine Learning	ML モデルでのMachine Learning API アクティビティ。	機械学習 MlModel	AWS::MachineLearning::MlModel
Amazon Managed Blockchain	ネットワーク上の Amazon Managed Blockchain API アクティビティ。	Managed Blockchain ネットワーク	AWS::ManagedBlockchain::Network
Amazon Managed Blockchain	eth_getBalance や eth_getBlockByNumber などの Ethereum ノードに対する Amazon Managed Blockchain JSON-RPC コール。	Managed Blockchain	AWS::ManagedBlockchain::Node
Amazon Neptune Graph	Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。	Neptune Graph	AWS::NeptuneGraph::Graph
AWS Private CA	AWS Private CA Connector for Active Directory API アクティビティ。	AWS Private CA Connector for Active Directory	AWS::PCAConnectorAD::Connector
AWS Private CA	AWS Private CA SCEP API アクティビティ用のコネクタ。	AWS Private CA SCEP 用コネクタ	AWS::PCAConnectorSCEP::Connector
Amazon Q アプリ	Amazon Q Apps での Data API アクティビティ。	Amazon Q アプリ	AWS::QApps:QApp
Amazon Q Business	アプリケーション上の Amazon Q Business API アクティビティ。	Amazon Q Business アプリケーション	AWS::QBusiness::Application
Amazon Q Business	データソース上の Amazon Q Business API アクティビティ。	Amazon Q Business データソース	AWS::QBusiness::DataSource
Amazon Q Business	インデックスでの Amazon Q Business API アクティビティ。	Amazon Q Business インデックス	AWS::QBusiness::Index
Amazon Q Business	ウェブエクスペリエンスでの Amazon Q Business API アクティビティ。	Amazon Q Business ウェブエクスペリエンス	AWS::QBusiness::WebExperience
Amazon RDS	DB クラスターでの Amazon RDS API アクティビティ。	RDS Data API - DB クラスター	AWS::RDS::DBCluster
Amazon S3	アクセスポイントでの Amazon S3 API アクティビティ。	S3 アクセスポイント	AWS::S3::AccessPoint
Amazon S3	Amazon S3 Object Lambda アクセスポイント API アクティビティ 、 CompleteMultipartUploadや への呼び出しなどGetObject。	S3 Object Lambda	AWS::S3ObjectLambda::AccessPoint
Amazon S3 on Outposts	Amazon S3 on Outposts オブジェクトレベル API アクティビティ。	S3 Outposts	AWS::S3Outposts::Object
Amazon SageMaker	エンドポイントでの Amazon SageMaker InvokeEndpointWithResponseStream アクティビティ。	SageMaker エンドポイント	AWS::SageMaker::Endpoint
Amazon SageMaker	特徴量ストアでの Amazon SageMaker API アクティビティ。	SageMaker 特徴量ストア	AWS::SageMaker::FeatureGroup
Amazon SageMaker	実験トライアルコンポーネント での Amazon SageMaker API アクティビティ。 https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html	SageMaker メトリクス実験トライアルコンポーネント	AWS::SageMaker::ExperimentTrialComponent
Amazon SNS	プラットフォームエンドポイントでの Amazon SNS Publish API オペレーション。	SNS プラットフォームエンドポイント	AWS::SNS::PlatformEndpoint
Amazon SNS	トピックに関する Amazon SNS Publish および PublishBatch API オペレーション。	SNS トピック	AWS::SNS::Topic
Amazon SQS	メッセージでの Amazon SQS API アクティビティ。	SQS	AWS::SQS::Queue
AWS Step Functions	ステートマシンでの Step Functions API アクティビティ。	Step Functions ステートマシン	AWS::StepFunctions::StateMachine
AWS Supply Chain	AWS Supply Chain インスタンスでの API アクティビティ。	サプライチェーン	AWS::SCN::Instance
Amazon SWF	ドメイン での Amazon SWF API アクティビティ。 https://docs.aws.amazon.com/amazonswf/latest/developerguide/swf-dev-domains.html	SWF ドメイン	AWS::SWF::Domain
AWS Systems Manager	コントロールチャネルでの Systems Manager API アクティビティ。	Systems Manager	AWS::SSMMessages::ControlChannel
AWS Systems Manager	マネージドノードでの Systems Manager API アクティビティ。	Systems Manager マネージドノード	AWS::SSM::ManagedNode
Amazon Timestream	データベース上の Amazon Timestream Query API アクティビティ。	Timestream データベース	AWS::Timestream::Database
Amazon Timestream	テーブル上の Amazon Timestream Query API アクティビティ。	Timestream テーブル	AWS::Timestream::Table
Amazon Verified Permissions	ポリシーストア上の Amazon Verified Permissions API アクティビティ。	Amazon Verified Permissions	AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces シンクライアント	WorkSpaces デバイス上のシンクライアント API アクティビティ。	シンクライアントデバイス	AWS::ThinClient::Device
Amazon WorkSpaces シンクライアント	WorkSpaces 環境でのシンクライアント API アクティビティ。	シンクライアント環境	AWS::ThinClient::Environment
AWS X-Ray	トレース での X-Ray API アクティビティ。	X-Ray トレース	AWS::XRay::Trace

証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集するサポートされているリソースまたはリソースタイプを明示的に追加する必要があります。データイベントのログ記録の詳細については、「データイベントをログ記録する」を参照してください。

データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金」を参照してください。

Insights イベント

CloudTrail Insights イベントは、 CloudTrail 管理アクティビティを分析することで、アカウントの異常な API コールレートまたはエラーレートのアクティビティをキャプチャします AWS 。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。 CloudTrail 証跡またはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、 がアカウントの API 使用量またはエラー率のログ記録の変更 CloudTrail を検出したときにのみログに記録されます。これは、アカウントの一般的な使用パターンとは大きく異なります。

Insights イベントを生成する可能性のあるアクティビティの例を次に示します。

• 通常、アカウントは Amazon S3 deleteBucket API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個の deleteBucket API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

• 通常、アカウントは Amazon EC2 AuthorizeSecurityGroupIngress API のコールを 1 分あたり 20 個を記録しますが、アカウントは AuthorizeSecurityGroupIngress へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

• 通常は、アカウントで AWS Identity and Access Management API DeleteInstanceProfile に関する AccessDeniedException エラーのログ記録が 7 日間に 1 つもありません。アカウントが DeleteInstanceProfile API コールで 1 分あたり平均 12 AccessDeniedException エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

CloudTrail Insights イベントをログに記録するには、新規または既存の証跡またはイベントデータストアで Insights イベントを明示的に有効にする必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールを使用して Insights イベントのイベントデータストアを作成する」を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金」を参照してください。

イベント履歴

CloudTrail イベント履歴は、 内の過去 90 日間の CloudTrail 管理イベントの表示可能、検索可能、ダウンロード可能、およびイミュータブルなレコードを提供します AWS リージョン。この履歴を使用して、、 SDK AWS Management Console、コマンドラインツール、およびその他の AWS サービスで AWS アカウントで実行されたアクションを可視化できます。 AWS SDKs コンソールでイベント履歴の表示をカスタマイズするには、表示する列 CloudTrail を選択します。詳細については、「 CloudTrail イベント履歴の操作」を参照してください。

追跡

証跡は、イベントを S3 バケット CloudTrail に配信し、オプションで CloudWatch Logs と Amazon EventBridgeに配信できるようにする設定です。証跡を使用して、配信する CloudTrail イベントを選択し、 CloudTrail イベントログファイルを AWS KMS キーで暗号化し、ログファイル配信用の Amazon SNS 通知を設定できます。証跡の作成と管理の詳細については、「の証跡の作成 AWS アカウント」を参照してください。

マルチリージョンおよびシングルリージョンの証跡

には、 AWS アカウントマルチリージョン証跡と単一リージョン証跡の 2 種類の証跡を作成できます。

マルチリージョンの証跡

マルチリージョン証跡を作成すると、 は作業しているAWS パーティション AWS リージョン のすべての でイベント CloudTrail を記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョンの証跡を作成した後に AWS リージョン が追加されると、その新しいリージョンが自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。 CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンです。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、「コンソールで証跡を作成する」および「1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用」を参照してください。

単一リージョンの証跡

単一リージョンの証跡を作成すると、 はそのリージョンのイベントのみ CloudTrail を記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルを配信します。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加の単一の証跡を作成する場合は、それらの証跡に CloudTrail イベントログファイルを同じ S3 バケットまたは個別のバケットに配信させることができます。これは、 または CloudTrail API AWS CLI を使用して証跡を作成する場合のデフォルトのオプションです。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

マルチリージョン証跡には、次の利点があります。

• 証跡の設定は、すべての に一貫して適用されます AWS リージョン。

• 1 つの Amazon S3 バケット AWS リージョン 内のすべての からイベントを受信し、オプションで Logs CloudWatch ロググループで CloudTrail イベントを受信します。 Amazon S3

• すべての の証跡設定を 1 つの場所 AWS リージョン から管理します。

証跡をすべての AWS リージョンに適用すると、 は特定のリージョンで作成した証跡 CloudTrail を使用して、作業しているAWS パーティション内の他のすべてのリージョンで同じ設定の証跡を作成します。

その結果、次のことが起こります。

• CloudTrail は、すべての AWS リージョンからのアカウントアクティビティのログファイルを、指定した単一の Amazon S3 バケットに配信し、オプションで Logs CloudWatch ロググループに配信します。

• 証跡に Amazon SNS トピックを設定した場合、すべての AWS リージョンのログファイル配信に関する SNS 通知がその 1 つの SNS トピックに送信されます。

証跡がマルチリージョンかシングルリージョンかにかかわらず、Amazon に送信されるイベントは、1 つのイベントバスではなく、各リージョンのイベントバス で受信 EventBridge されます。

1 リージョンに対する複数の証跡

デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。

CloudTrail は、リージョンごとに 5 つの証跡をサポートします。マルチリージョンの証跡は、リージョンごとに 1 つの証跡としてカウントされます。

以下は、5 つの証跡を持つリージョンの例です。

• 米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。

• 米国西部 (北カリフォルニア) リージョンにさらに 2 つのマルチリージョン証跡を作成します。

• アジアパシフィック (シドニー) リージョンに別のマルチリージョン証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。

証跡のリストは、 CloudTrail コンソールの AWS リージョン 証跡ページで確認できます。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。 CloudTrail 料金については、「 AWS CloudTrail の料金」を参照してください。

組織の証跡

組織の証跡は、管理アカウントと AWS Organizations 組織内のすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、 CloudWatch ログ、および Amazon に配信できるようにする設定です EventBridge。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。

コンソールを使用して作成されたすべての組織の証跡は、組織内の各メンバーアカウントで有効になっている AWS リージョン からのイベントをログに記録するマルチリージョン組織の証跡です。組織内のすべての AWS パーティションのイベントをログに記録するには、各パーティションにマルチリージョン組織の証跡を作成します。を使用して、単一リージョンまたはマルチリージョンの組織の証跡を作成できます AWS CLI。単一リージョンの証跡を作成する場合は、証跡の AWS リージョン （ホームリージョンとも呼ばれる) でのみアクティビティを記録します。

のほとんどの AWS リージョン はデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンについては、「 AWS Account Management リファレンスガイド」の「リージョンを有効または無効にする前の考慮事項」を参照してください。がサポートするリージョンのリストについては、 CloudTrail「」を参照してくださいCloudTrail サポートされているリージョン。

組織の証跡を作成すると、指定した名前の証跡のコピーが、組織に属するメンバーアカウントで作成されます。

• 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョン でない場合、証跡のコピーは各メンバーアカウントの組織の証跡のホームリージョンに作成されます。

• 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョン の場合、証跡のコピーは、そのリージョンを有効にしたメンバーアカウントの組織の証跡のホームリージョンに作成されます。

• 組織の証跡がマルチリージョンで、証跡のホームリージョンがオプトインリージョン でない場合、証跡のコピーは各メンバーアカウントで有効になっている各 AWS リージョン に作成されます。メンバーアカウントがオプトインリージョンを有効にすると、マルチリージョン証跡のコピーが、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンに作成されます。

• 組織の証跡がマルチリージョンで、ホームリージョンがオプトインリージョン の場合、 AWS リージョン マルチリージョン証跡が作成された をオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、そのアカウントの欧州 (スペイン) リージョンを有効にしたメンバーアカウントのみが、そのアカウントのアクティビティを組織の証跡に送信します。

注記

CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織の証跡を作成します。検証の失敗の例は次のとおりです。

• Amazon S3 バケットポリシーが正しくない

• Amazon SNS トピックポリシーが正しくない

• Logs CloudWatch ロググループに配信できない

• KMS キーを使用して暗号化するアクセス許可が不十分

アクセス CloudTrail 許可を持つメンバーアカウントは、 CloudTrail コンソールで証跡の詳細ページを表示するか、 コマンドを実行する AWS CLI get-trail-statusことで、組織の証跡の検証に失敗したことを確認できます。

メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、アカウント AWS から AWS CloudTrail コンソールにログインするとき、または などの AWS CLI コマンドを実行するときに、組織の証跡 (証跡 ARN を含む) を表示できます describe-trails (ただし、メンバーアカウントは、 を使用する場合、名前ではなく、組織の証跡の ARN を使用する必要があります AWS CLI）。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログのオン/オフの切り替え、ログに記録されるイベントの種類の変更、または組織の証跡の変更を行うための十分なアクセス許可がありません。 AWS Organizationsの詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。

CloudTrail Lake およびイベントデータストア

CloudTrail Lake では、イベントに対してきめ細かな SQL ベースのクエリを実行し、独自のアプリケーションや と統合されているパートナーなど AWS、 外のソースからのイベントをログ記録できます CloudTrail。 CloudTrail Lake を使用するには、アカウントに証跡を設定する必要はありません。

イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリ結果を S3 バケットに保存することもできます。 CloudTrail Lake は、組織からのイベントをイベントデータストア AWS Organizations に保存したり、複数のリージョンやアカウントからのイベントを保存することもできます。 CloudTrail Lake は、セキュリティ調査とトラブルシューティングの実行に役立つ監査ソリューションの一部です。詳細については、「AWS CloudTrail Lake の使用」および「CloudTrail Lake の概念と用語」を参照してください。

CloudTrail インサイト

CloudTrail Insights は、 CloudTrail 管理イベントを継続的に分析することで、 AWS ユーザーが異常な量の API コールや API コールに記録されたエラーを特定し、それに対応するのに役立ちます。Insights イベントは、異常なレベルの write 管理 API アクティビティ、または管理 API アクティビティで返された異常なレベルのエラーの記録です。デフォルトでは、証跡とイベントデータストアは CloudTrail Insights イベントをログに記録しません。コンソールでは、証跡あるいはイベントデータストアを作成または更新する際に Insights イベントがログ記録されるように選択できます。 CloudTrail API を使用すると、既存の証跡またはイベントデータストアの設定を PutInsightSelectors API で編集することで、Insights イベントをログに記録できます。 CloudTrail Insights イベントのログ記録には追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「Insights イベントのログ記録」と「AWS CloudTrail 料金表」を参照してください。

タグ

タグは、証 CloudTrail 跡、イベントデータストア、チャネル、 CloudTrail ログファイルの保存に使用される S3 バケット、 AWS Organizations 組織と組織単位などのリソースに割り当てる AWS ことができる、ユーザー定義のキーとオプションの値です。証跡と証跡のログファイルの保存に使用する S3 バケットに同じタグを追加することで、 でこれらのリソースの管理、検索、フィルタリングを簡単に行うことができますAWS Resource Groups。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、AWS 「リソースのタグ付けのベストプラクティス」を参照してください。

AWS Security Token Service および CloudTrail

AWS Security Token Service （AWS STS) は、グローバルエンドポイントを持ち、リージョン固有のエンドポイントもサポートするサービスです。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。例えば、 https://cloudtrail.us-west-2.amazonaws.comは AWS CloudTrail サービスの米国西部 (オレゴン) リージョンのエントリポイントです。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。

AWS STS リージョン固有のエンドポイントを使用する場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。 AWS STS リージョンエンドポイントの詳細については、IAM ユーザーガイドの「 AWS リージョン AWS STS での のアクティブ化と非アクティブ化」を参照してください。

AWS リージョンエンドポイントの完全なリストについては、AWS 「」の「リージョンとエンドポイント」を参照してくださいAWS 全般のリファレンス。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。

グローバルサービスイベント

重要

2021 年 11 月 22 日、 は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。これで、Amazon CloudFront、、および によって作成されたイベント AWS STS は AWS Identity and Access Management、作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、 がこれらのサービスを他の AWS グローバルサービスのサービスと一貫して CloudTrail 扱うようになります。米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

これとは対照的に、 CloudTrail コンソールのイベント履歴と aws cloudtrail lookup-events コマンドは、これらのイベントが発生した AWS リージョン でイベントを表示します。

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。 AWS Identity and Access Management (IAM) AWS STSや Amazon などのグローバルサービスの場合 CloudFront、イベントはグローバルサービスを含むすべての証跡に配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。

グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。

• グローバルサービスイベントは、コンソールを使用して作成された証跡にデフォルトで配信されます CloudTrail 。イベントは、その証跡のバケットに配信されます。

• 単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討してください。詳しくは、グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

• 証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に有効になります。

  証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

例:

1. CloudTrail コンソールで証跡を作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。

2. 単一リージョンの証跡を複数作成したとします。

3. 単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。

注記

AWS CLI、 AWS SDKs、または CloudTrail API を使用して証跡を作成または更新する場合、証跡のグローバルサービスイベントを含めるか除外するかを指定できます。 CloudTrail コンソールからグローバルサービスイベントのログ記録を設定することはできません。