翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail の概念
このセクションでは、 に関連する基本概念をまとめます CloudTrail。
概念:
CloudTrail イベント
のイベント CloudTrail は、 AWS アカウント内のアクティビティの記録です。このアクティビティは、IAM アイデンティティによって実行されるアクション、または によってモニタリング可能なサービスにすることができます CloudTrail。 CloudTrail イベントは、、 AWS SDKs AWS Management Console、コマンドラインツール、およびその他の AWS サービスを通じて行われた API と非 API アカウントアクティビティの両方の履歴を提供します。
CloudTrail ログファイルはパブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
CloudTrail は 3 種類のイベントを記録します。
すべてのイベントタイプは CloudTrail JSON ログ形式を使用します。
デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。
と AWS のサービス の統合方法については、 CloudTrail「」を参照してくださいAWS のサービストピック CloudTrail。
管理イベント
管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。
管理イベントには、次のようなものがあります。
-
セキュリティの設定 (API AWS Identity and Access Management
AttachRolePolicy
オペレーションなど)。 -
デバイスの登録 (例: Amazon EC2
CreateDefaultVpc
API オペレーション)。 -
データをルーティングするルールの設定 (例: Amazon EC2
CreateSubnet
API オペレーション)。 -
ログ記録の設定 (API AWS CloudTrail
CreateTrail
オペレーションなど)。
管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、 はConsoleLogin
イベントを CloudTrail ログに記録します。詳細については、「によってキャプチャされた非 API イベント CloudTrail」を参照してください。
デフォルトでは、 CloudTrail 証跡と CloudTrail Lake イベントデータストアは管理イベントをログに記録します。管理イベントのログ記録の詳細については、「」を参照してください管理イベントのログ記録。
データイベント
データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。
データイベントには、次のようなものがあります。
-
S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (
GetObject
、DeleteObject
、およびPutObject
API オペレーションなど)。 S3 -
AWS Lambda 関数実行アクティビティ (
Invoke
API)。 -
CloudTrail
PutAuditEvents
外部からのイベントをログに記録するために使用される CloudTrail Lake チャネルでの アクティビティ AWS。 -
トピックに関する Amazon SNS
Publish
およびPublishBatch
API オペレーション。
証跡およびイベントデータストアで使用できるデータイベントタイプは、以下の表のとおりです。[データイベントタイプ (コンソール)] 列には、コンソールで有効な選択項目が表示されます。resources.type 値列には、 AWS CLI または CloudTrail APIs を使用して、証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type
値が表示されます。
証跡では、基本イベントセレクタまたはアドバンストイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (テーブルの最初の 3 行に表示) 内の Amazon S3 オブジェクトのデータイベントをログ記録できます。残りの行に表示されるデータイベントタイプをログに記録するには、高度イベントセレクタのみを使用できます。
イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。
AWS のサービス | 説明 | データイベントタイプ (コンソール) | resources.type 値 |
---|---|---|---|
Amazon DynamoDB | テーブルに対する Amazon DynamoDB 項目レベルの API アクティビティ (、 注記ストリームが有効になっているテーブルの場合、データイベントの |
DynamoDB |
|
AWS Lambda | AWS Lambda 関数実行アクティビティ ( |
Lambda | AWS::Lambda::Function |
Amazon S3 | 汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ ( |
S3 | AWS::S3::Object |
AWS AppConfig |
|
AWS AppConfig | AWS::AppConfig::Configuration |
AWS B2B データ交換 |
|
B2B データ交換 | AWS::B2BI::Transformer |
Amazon Bedrock | エージェントエイリアスでの Amazon Bedrock API アクティビティ。 | Bedrock エージェントエイリアス | AWS::Bedrock::AgentAlias |
Amazon Bedrock | ナレッジベースでの Amazon Bedrock API アクティビティ。 | Bedrock ナレッジベース | AWS::Bedrock::KnowledgeBase |
Amazon CloudFront | CloudFront での API アクティビティKeyValueStore。 |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | 名前空間 での AWS Cloud Map API アクティビティ。 | AWS Cloud Map 名前空間 |
|
AWS Cloud Map | サービス での AWS Cloud Map API アクティビティ。 | AWS Cloud Map service |
|
AWS CloudTrail | CloudTrail |
CloudTrail チャンネル | AWS::CloudTrail::Channel |
Amazon CloudWatch | メトリクスに対する Amazon CloudWatch API アクティビティ。 |
CloudWatch メトリクス | AWS::CloudWatch::Metric |
Amazon CodeWhisperer | カスタマイズに対する Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer カスタマイズ | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | プロファイルの Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。 |
Cognito アイデンティティプール | AWS::Cognito::IdentityPool |
Amazon DynamoDB | ストリームに対する Amazon DynamoDB API アクティビティ |
DynamoDB Streams | AWS::DynamoDB::Stream |
Amazon Elastic Block Store | Amazon EBS スナップショットの |
Amazon EBS ダイレクト API | AWS::EC2::Snapshot |
Amazon EMR | ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。 | EMR ログ先行書き込みワークスペース | AWS::EMRWAL::Workspace |
Amazon FinSpace | 環境に対する Amazon FinSpace API アクティビティ。 |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。 |
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | ディテクター の Amazon GuardDuty API アクティビティ。 https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail |
GuardDuty ディテクター | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging データストアでの API アクティビティ。 |
MedicalImaging データストア | AWS::MedicalImaging::Datastore |
AWS IoT | IoT 証明書 | AWS::IoT::Certificate |
|
AWS IoT | IoT モノ | AWS::IoT::Thing |
|
AWS IoT Greengrass Version 2 | コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントを記録しません。 |
IoT Greengrass コンポーネントバージョン | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントを記録しません。 |
IoT Greengrass デプロイ | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | アセット での IoT SiteWise API アクティビティ。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html |
IoT SiteWise アセット | AWS::IoTSiteWise::Asset |
AWS IoT SiteWise | 時系列 での IoT SiteWise API アクティビティ。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html |
IoT SiteWise 時系列 | AWS::IoTSiteWise::TimeSeries |
AWS IoT TwinMaker | エンティティ での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateEntity.html |
IoT TwinMaker エンティティ | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | ワークスペース での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateWorkspace.html |
IoT TwinMaker ワークスペース | AWS::IoTTwinMaker::Workspace |
Amazon Kendra インテリジェントランキング | リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。 |
Kendra ランキング | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (Apache Cassandra 向け) | テーブルでの Amazon Keyspaces API アクティビティ。 | Cassandra テーブル | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | ストリーム での Kinesis Data Streams API アクティビティ。 | Kinesis ストリーム | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | ストリームコンシューマー での Kinesis Data Streams API アクティビティ。 | Kinesis ストリームコンシューマー | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | GetMedia および の呼び出しなど、ビデオストリームでの Kinesis Video Streams API アクティビティPutMedia 。 |
Kinesis ビデオストリーム | AWS::KinesisVideo::Stream |
Amazon Machine Learning | ML モデルでのMachine Learning API アクティビティ。 | 機械学習 MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | ネットワーク上の Amazon Managed Blockchain API アクティビティ。 |
Managed Blockchain ネットワーク | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain |
|
Managed Blockchain | AWS::ManagedBlockchain::Node |
Amazon Neptune Graph | Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。 |
Neptune Graph | AWS::NeptuneGraph::Graph |
AWS Private CA | AWS Private CA Connector for Active Directory API アクティビティ。 |
AWS Private CA Connector for Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA SCEP API アクティビティ用のコネクタ。 |
AWS Private CA SCEP 用コネクタ | AWS::PCAConnectorSCEP::Connector |
Amazon Q アプリ | Amazon Q Apps での Data API アクティビティ。 |
Amazon Q アプリ | AWS::QApps:QApp |
Amazon Q Business | アプリケーション上の Amazon Q Business API アクティビティ。 |
Amazon Q Business アプリケーション | AWS::QBusiness::Application |
Amazon Q Business | データソース上の Amazon Q Business API アクティビティ。 |
Amazon Q Business データソース | AWS::QBusiness::DataSource |
Amazon Q Business | インデックスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business インデックス | AWS::QBusiness::Index |
Amazon Q Business | ウェブエクスペリエンスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business ウェブエクスペリエンス | AWS::QBusiness::WebExperience |
Amazon RDS | DB クラスターでの Amazon RDS API アクティビティ。 |
RDS Data API - DB クラスター | AWS::RDS::DBCluster |
Amazon S3 | アクセスポイントでの Amazon S3 API アクティビティ。 |
S3 アクセスポイント | AWS::S3::AccessPoint |
Amazon S3 | Amazon S3 Object Lambda アクセスポイント API アクティビティ 、 |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
Amazon S3 on Outposts | Amazon S3 on Outposts オブジェクトレベル API アクティビティ。 |
S3 Outposts | AWS::S3Outposts::Object |
Amazon SageMaker | エンドポイントでの Amazon SageMaker InvokeEndpointWithResponseStream アクティビティ。 |
SageMaker エンドポイント | AWS::SageMaker::Endpoint |
Amazon SageMaker | 特徴量ストアでの Amazon SageMaker API アクティビティ。 |
SageMaker 特徴量ストア | AWS::SageMaker::FeatureGroup |
Amazon SageMaker | 実験トライアルコンポーネント での Amazon SageMaker API アクティビティ。 https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html |
SageMaker メトリクス実験トライアルコンポーネント | AWS::SageMaker::ExperimentTrialComponent |
Amazon SNS | プラットフォームエンドポイントでの Amazon SNS |
SNS プラットフォームエンドポイント | AWS::SNS::PlatformEndpoint |
Amazon SNS | トピックに関する Amazon SNS |
SNS トピック | AWS::SNS::Topic |
Amazon SQS | メッセージでの Amazon SQS API アクティビティ。 |
SQS | AWS::SQS::Queue |
AWS Step Functions | ステートマシンでの Step Functions API アクティビティ。 |
Step Functions ステートマシン | AWS::StepFunctions::StateMachine |
AWS Supply Chain | AWS Supply Chain インスタンスでの API アクティビティ。 |
サプライチェーン | AWS::SCN::Instance |
Amazon SWF | ドメイン での Amazon SWF API アクティビティ。 https://docs.aws.amazon.com/amazonswf/latest/developerguide/swf-dev-domains.html |
SWF ドメイン | AWS::SWF::Domain |
AWS Systems Manager | コントロールチャネルでの Systems Manager API アクティビティ。 | Systems Manager | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | マネージドノードでの Systems Manager API アクティビティ。 | Systems Manager マネージドノード | AWS::SSM::ManagedNode |
Amazon Timestream | データベース上の Amazon Timestream Query API アクティビティ。 |
Timestream データベース | AWS::Timestream::Database |
Amazon Timestream | テーブル上の Amazon Timestream Query API アクティビティ。 |
Timestream テーブル | AWS::Timestream::Table |
Amazon Verified Permissions | ポリシーストア上の Amazon Verified Permissions API アクティビティ。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces シンクライアント | WorkSpaces デバイス上のシンクライアント API アクティビティ。 | シンクライアントデバイス | AWS::ThinClient::Device |
Amazon WorkSpaces シンクライアント | WorkSpaces 環境でのシンクライアント API アクティビティ。 | シンクライアント環境 | AWS::ThinClient::Environment |
AWS X-Ray | X-Ray トレース | AWS::XRay::Trace |
証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集するサポートされているリソースまたはリソースタイプを明示的に追加する必要があります。データイベントのログ記録の詳細については、「データイベントをログ記録する」を参照してください。
データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金
Insights イベント
CloudTrail Insights イベントは、 CloudTrail 管理アクティビティを分析することで、アカウントの異常な API コールレートまたはエラーレートのアクティビティをキャプチャします AWS 。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。 CloudTrail 証跡またはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、 がアカウントの API 使用量またはエラー率のログ記録の変更 CloudTrail を検出したときにのみログに記録されます。これは、アカウントの一般的な使用パターンとは大きく異なります。
Insights イベントを生成する可能性のあるアクティビティの例を次に示します。
-
通常、アカウントは Amazon S3
deleteBucket
API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個のdeleteBucket
API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常、アカウントは Amazon EC2
AuthorizeSecurityGroupIngress
API のコールを 1 分あたり 20 個を記録しますが、アカウントはAuthorizeSecurityGroupIngress
へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常は、アカウントで AWS Identity and Access Management API
DeleteInstanceProfile
に関するAccessDeniedException
エラーのログ記録が 7 日間に 1 つもありません。アカウントがDeleteInstanceProfile
API コールで 1 分あたり平均 12AccessDeniedException
エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。
これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。
CloudTrail Insights イベントをログに記録するには、新規または既存の証跡またはイベントデータストアで Insights イベントを明示的に有効にする必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールを使用して Insights イベントのイベントデータストアを作成する」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金
イベント履歴
CloudTrail イベント履歴は、 内の過去 90 日間の CloudTrail 管理イベントの表示可能、検索可能、ダウンロード可能、およびイミュータブルなレコードを提供します AWS リージョン。この履歴を使用して、、 SDK AWS Management Console、コマンドラインツール、およびその他の AWS サービスで AWS アカウントで実行されたアクションを可視化できます。 AWS SDKs コンソールでイベント履歴の表示をカスタマイズするには、表示する列 CloudTrail を選択します。詳細については、「 CloudTrail イベント履歴の操作」を参照してください。
追跡
証跡は、イベントを S3 バケット CloudTrail に配信し、オプションで CloudWatch Logs と Amazon EventBridgeに配信できるようにする設定です。証跡を使用して、配信する CloudTrail イベントを選択し、 CloudTrail イベントログファイルを AWS KMS キーで暗号化し、ログファイル配信用の Amazon SNS 通知を設定できます。証跡の作成と管理の詳細については、「の証跡の作成 AWS アカウント」を参照してください。
マルチリージョンおよびシングルリージョンの証跡
には、 AWS アカウントマルチリージョン証跡と単一リージョン証跡の 2 種類の証跡を作成できます。
- マルチリージョンの証跡
-
マルチリージョン証跡を作成すると、 は作業しているAWS パーティション AWS リージョン のすべての でイベント CloudTrail を記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョンの証跡を作成した後に AWS リージョン が追加されると、その新しいリージョンが自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。 CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンです。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、「コンソールで証跡を作成する」および「1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用」を参照してください。
- 単一リージョンの証跡
-
単一リージョンの証跡を作成すると、 はそのリージョンのイベントのみ CloudTrail を記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルを配信します。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加の単一の証跡を作成する場合は、それらの証跡に CloudTrail イベントログファイルを同じ S3 バケットまたは個別のバケットに配信させることができます。これは、 または CloudTrail API AWS CLI を使用して証跡を作成する場合のデフォルトのオプションです。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。
注記
どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。
マルチリージョン証跡には、次の利点があります。
-
証跡の設定は、すべての に一貫して適用されます AWS リージョン。
-
1 つの Amazon S3 バケット AWS リージョン 内のすべての からイベントを受信し、オプションで Logs CloudWatch ロググループで CloudTrail イベントを受信します。 Amazon S3
-
すべての の証跡設定を 1 つの場所 AWS リージョン から管理します。
証跡をすべての AWS リージョンに適用すると、 は特定のリージョンで作成した証跡 CloudTrail を使用して、作業しているAWS パーティション内の他のすべてのリージョンで同じ設定の証跡を作成します。
その結果、次のことが起こります。
-
CloudTrail は、すべての AWS リージョンからのアカウントアクティビティのログファイルを、指定した単一の Amazon S3 バケットに配信し、オプションで Logs CloudWatch ロググループに配信します。
-
証跡に Amazon SNS トピックを設定した場合、すべての AWS リージョンのログファイル配信に関する SNS 通知がその 1 つの SNS トピックに送信されます。
証跡がマルチリージョンかシングルリージョンかにかかわらず、Amazon に送信されるイベントは、1 つのイベントバスではなく、各リージョンのイベントバス で受信 EventBridge されます。
1 リージョンに対する複数の証跡
デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。
CloudTrail は、リージョンごとに 5 つの証跡をサポートします。マルチリージョンの証跡は、リージョンごとに 1 つの証跡としてカウントされます。
以下は、5 つの証跡を持つリージョンの例です。
-
米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。
-
米国西部 (北カリフォルニア) リージョンにさらに 2 つのマルチリージョン証跡を作成します。
-
アジアパシフィック (シドニー) リージョンに別のマルチリージョン証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。
証跡のリストは、 CloudTrail コンソールの AWS リージョン 証跡ページで確認できます。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。 CloudTrail 料金については、「 AWS CloudTrail の料金
組織の証跡
組織の証跡は、管理アカウントと AWS Organizations 組織内のすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、 CloudWatch ログ、および Amazon に配信できるようにする設定です EventBridge。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。
コンソールを使用して作成されたすべての組織の証跡は、組織内の各メンバーアカウントで有効になっている AWS リージョン からのイベントをログに記録するマルチリージョン組織の証跡です。組織内のすべての AWS パーティションのイベントをログに記録するには、各パーティションにマルチリージョン組織の証跡を作成します。を使用して、単一リージョンまたはマルチリージョンの組織の証跡を作成できます AWS CLI。単一リージョンの証跡を作成する場合は、証跡の AWS リージョン (ホームリージョンとも呼ばれる) でのみアクティビティを記録します。
のほとんどの AWS リージョン はデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンについては、「 AWS Account Management リファレンスガイド」の「リージョンを有効または無効にする前の考慮事項」を参照してください。がサポートするリージョンのリストについては、 CloudTrail「」を参照してくださいCloudTrail サポートされているリージョン。
組織の証跡を作成すると、指定した名前の証跡のコピーが、組織に属するメンバーアカウントで作成されます。
-
組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョン でない場合、証跡のコピーは各メンバーアカウントの組織の証跡のホームリージョンに作成されます。
-
組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョン の場合、証跡のコピーは、そのリージョンを有効にしたメンバーアカウントの組織の証跡のホームリージョンに作成されます。
-
組織の証跡がマルチリージョンで、証跡のホームリージョンがオプトインリージョン でない場合、証跡のコピーは各メンバーアカウントで有効になっている各 AWS リージョン に作成されます。メンバーアカウントがオプトインリージョンを有効にすると、マルチリージョン証跡のコピーが、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンに作成されます。
-
組織の証跡がマルチリージョンで、ホームリージョンがオプトインリージョン の場合、 AWS リージョン マルチリージョン証跡が作成された をオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、そのアカウントの欧州 (スペイン) リージョンを有効にしたメンバーアカウントのみが、そのアカウントのアクティビティを組織の証跡に送信します。
注記
CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織の証跡を作成します。検証の失敗の例は次のとおりです。
-
Amazon S3 バケットポリシーが正しくない
-
Amazon SNS トピックポリシーが正しくない
-
Logs CloudWatch ロググループに配信できない
-
KMS キーを使用して暗号化するアクセス許可が不十分
アクセス CloudTrail 許可を持つメンバーアカウントは、 CloudTrail コンソールで証跡の詳細ページを表示するか、 コマンドを実行する AWS CLI get-trail-statusことで、組織の証跡の検証に失敗したことを確認できます。
メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、アカウント AWS から AWS CloudTrail コンソールにログインするとき、または などの AWS CLI コマンドを実行するときに、組織の証跡 (証跡 ARN を含む) を表示できます describe-trails
(ただし、メンバーアカウントは、 を使用する場合、名前ではなく、組織の証跡の ARN を使用する必要があります AWS CLI)。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログのオン/オフの切り替え、ログに記録されるイベントの種類の変更、または組織の証跡の変更を行うための十分なアクセス許可がありません。 AWS Organizationsの詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。
CloudTrail Lake およびイベントデータストア
CloudTrail Lake では、イベントに対してきめ細かな SQL ベースのクエリを実行し、独自のアプリケーションや と統合されているパートナーなど AWS、 外のソースからのイベントをログ記録できます CloudTrail。 CloudTrail Lake を使用するには、アカウントに証跡を設定する必要はありません。
イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリ結果を S3 バケットに保存することもできます。 CloudTrail Lake は、組織からのイベントをイベントデータストア AWS Organizations に保存したり、複数のリージョンやアカウントからのイベントを保存することもできます。 CloudTrail Lake は、セキュリティ調査とトラブルシューティングの実行に役立つ監査ソリューションの一部です。詳細については、「AWS CloudTrail Lake の使用」および「CloudTrail Lake の概念と用語」を参照してください。
CloudTrail インサイト
CloudTrail Insights は、 CloudTrail 管理イベントを継続的に分析することで、 AWS ユーザーが異常な量の API コールや API コールに記録されたエラーを特定し、それに対応するのに役立ちます。Insights イベントは、異常なレベルの write
管理 API アクティビティ、または管理 API アクティビティで返された異常なレベルのエラーの記録です。デフォルトでは、証跡とイベントデータストアは CloudTrail Insights イベントをログに記録しません。コンソールでは、証跡あるいはイベントデータストアを作成または更新する際に Insights イベントがログ記録されるように選択できます。 CloudTrail API を使用すると、既存の証跡またはイベントデータストアの設定を PutInsightSelectors
API で編集することで、Insights イベントをログに記録できます。 CloudTrail Insights イベントのログ記録には追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「Insights イベントのログ記録」と「AWS CloudTrail 料金表
タグ
タグは、証 CloudTrail 跡、イベントデータストア、チャネル、 CloudTrail ログファイルの保存に使用される S3 バケット、 AWS Organizations 組織と組織単位などのリソースに割り当てる AWS ことができる、ユーザー定義のキーとオプションの値です。証跡と証跡のログファイルの保存に使用する S3 バケットに同じタグを追加することで、 でこれらのリソースの管理、検索、フィルタリングを簡単に行うことができますAWS Resource Groups。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、AWS 「リソースのタグ付けのベストプラクティス」を参照してください。
AWS Security Token Service および CloudTrail
AWS Security Token Service (AWS STS) は、グローバルエンドポイントを持ち、リージョン固有のエンドポイントもサポートするサービスです。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。例えば、 https://cloudtrail.us-west-2.amazonaws.com
は AWS CloudTrail サービスの米国西部 (オレゴン) リージョンのエントリポイントです。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。
AWS STS リージョン固有のエンドポイントを使用する場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com
を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。 AWS STS リージョンエンドポイントの詳細については、IAM ユーザーガイドの「 AWS リージョン AWS STS での のアクティブ化と非アクティブ化」を参照してください。
AWS リージョンエンドポイントの完全なリストについては、AWS 「」の「リージョンとエンドポイント」を参照してくださいAWS 全般のリファレンス。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。
グローバルサービスイベント
重要
2021 年 11 月 22 日、 は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。これで、Amazon CloudFront、、および によって作成されたイベント AWS STS は AWS Identity and Access Management、作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、 がこれらのサービスを他の AWS グローバルサービスのサービスと一貫して CloudTrail 扱うようになります。米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。
これとは対照的に、 CloudTrail コンソールのイベント履歴と aws cloudtrail lookup-events コマンドは、これらのイベントが発生した AWS リージョン でイベントを表示します。
ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。 AWS Identity and Access Management (IAM) AWS STSや Amazon などのグローバルサービスの場合 CloudFront、イベントはグローバルサービスを含むすべての証跡に配信されます。
ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。
グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。
-
グローバルサービスイベントは、コンソールを使用して作成された証跡にデフォルトで配信されます CloudTrail 。イベントは、その証跡のバケットに配信されます。
-
単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討してください。詳しくは、グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。
-
証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に有効になります。
証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。
例:
-
CloudTrail コンソールで証跡を作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。
-
単一リージョンの証跡を複数作成したとします。
-
単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。
注記
AWS CLI、 AWS SDKs、または CloudTrail API を使用して証跡を作成または更新する場合、証跡のグローバルサービスイベントを含めるか除外するかを指定できます。 CloudTrail コンソールからグローバルサービスイベントのログ記録を設定することはできません。