翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
イベントデータストアへ証跡イベントをコピーします
証跡イベントを CloudTrail Lake イベントデータストアにコピーして、証跡に記録されたイベントのスナップショットを作成できます point-in-time。証跡イベントをコピーしても、イベントをログに記録する証跡の機能が損なわれることはなく、証跡が変更されることもありません。
証跡イベントをイベント用に設定された既存のイベントデータストアにコピーすることも CloudTrail 、新しい CloudTrail イベントデータストアを作成して、イベントデータストアの作成の一部として証跡イベントのコピーオプションを選択することもできます。証跡イベントを既存のイベントデータストアにコピーする方法の詳細については、「コンソールを使用して、証跡イベントを既存のイベントデータストアにコピーする」を参照してください。新しいイベントデータストアの作成方法に関する詳細は、「コンソールを使用してイベントのイベントデータストア CloudTrailを作成する」を参照してください。
証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。組織の委任された管理者アカウントを使用して、証跡イベントをコピーすることはできません。
CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake のコストの CloudTrail 料金と管理の詳細については、AWS CloudTrail 「 の
CloudTrail Lake イベントデータストアに証跡イベントをコピーすると、イベントデータストアが取り込む非圧縮データの量に基づいて料金が発生します。
証跡イベントを CloudTrail Lake にコピーすると、 は gzip (圧縮) 形式で保存されているログを CloudTrail 解凍し、ログに含まれるイベントをイベントデータストアにコピーします。非圧縮データのサイズは、実際の S3 ストレージサイズよりも大きくなる可能性があります。圧縮されていないデータのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。
コピーするイベントの時間範囲を短くすることで、コストを削減できます。コピーしたイベントのクエリにイベントデータストアのみを使用する予定の場合は、イベントの取り込みを無効にして、今後のイベントで料金が発生しないようにすることができます。詳細については、「AWS CloudTrail 料金表
シナリオ
次の表は、証跡イベントのコピーに関する一般的なシナリオと、コンソールを使用して各シナリオを実行する方法について示したものです。
| シナリオ | どうすればコンソールでこれを実行できますか? |
|---|---|
|
新しいイベントを取り込まずに CloudTrail Lake の履歴証跡イベントを分析してクエリする |
新しいイベントデータストアを作成し、イベントデータストアを作成する一環として [証跡イベントをコピー] を選択します。イベントデータストアを作成する際には、[イベントを取り込む] (手順のステップ 15) の選択を解除し、イベントデータストアが確実に証跡の過去のイベントのみを含み、未来のイベントは含まれないようにします。 |
|
既存の証跡を CloudTrail Lake イベントデータストアに置き換える |
証跡と同じイベントセレクターを持つイベントデータストアを作成し、イベントデータストアの対象範囲が証跡と同じであることを確認します。 ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成より前の、コピーされたイベントの日付範囲を選択します。 イベントデータストアを作成したら、証跡のログ記録をオフにします。そうすれば、追加料金の発生を防げます。 |
トピック
証跡イベントのコピーに関する留意事項
証跡イベントをコピーする場合は、以下の要素を考慮してください。
-
証跡イベントをコピーする場合、 は S3
GetObjectAPIオペレーション CloudTrail を使用してソース S3 バケットの証跡イベントを取得します。S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive、S3 Outposts、S3 Intelligent-Tiering Deep Archive 階層など、一部の S3 でアーカイブされたストレージクラスには、GetObjectを使用してアクセスできません。これらのアーカイブ済みストレージ クラスに保存されている証跡イベントをコピーするには、まず S3RestoreObjectオペレーションでコピーを復元する必要があります。アーカイブされたオブジェクトの復元の詳細については、「Amazon S3 ユーザーガイド」の「アーカイブされたオブジェクトの復元」を参照してください。 -
証跡イベントをイベントデータストアにコピーすると、 は、送信先イベントデータストアのイベントタイプ、高度なイベントセレクタ、または の設定に関係なく、すべての証跡イベント CloudTrail をコピーします AWS リージョン。
-
証跡イベントを既存のイベントデータストアにコピーする前に、そのイベントデータストアの料金設定オプションと保持期間が、ご自身のユースケースについて適切に設定されていることを確認してください。
-
料金オプション: 料金オプションによって、イベントの取り込みと保存にかかるコストが決まります。料金オプションの詳細については、「AWS CloudTrail 料金表
」および「イベントデータストアの料金オプション」を参照してください。 -
保持期間: 保持期間は、イベントデータをイベントデータストアに保持する期間を決定します。 は、イベントデータストアの保持期間
eventTime内の を持つ証跡イベント CloudTrail のみをコピーします。適切な保持期間を決定するには、コピーする最も古いイベントと、イベントデータストアにイベントを保持する日数の合計を取得します (保持期間 =oldest-event-in-days+number-days-to-retain)。例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
-
-
調査のため証跡イベントをイベントデータストアにコピーしており、それ以上のイベントを取り込む必要がない場合は、イベントデータストアへの取り込みを停止できます。イベントデータストアを作成する際に、[イベントを取り込む] オプション (手順のステップ 15) の選択を解除し、イベントデータストアは確実に証跡の過去のイベントのみを含み、未来のイベントは含まれないようにします。
-
証跡イベントをコピーする前に、ソース S3 バケットにアタッチされているアクセスコントロールリスト (ACLs) を無効にし、送信先イベントデータストアの S3 バケットポリシーを更新します。S3 バケットとポリシーの更新の詳細については、「証跡イベントのコピー用の Amazon S3 バケットポリシー」を参照してください。の無効化の詳細についてはACLs、「オブジェクトの所有権の制御」および「バケットの の無効化ACLs」を参照してください。
-
CloudTrail は、ソース S3 バケットにある Gzip 圧縮ログファイルから証跡イベントのみをコピーします。 CloudTrail は、非圧縮ログファイルや Gzip 以外の形式で圧縮されたログファイルから証跡イベントをコピーしません。
-
ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の、コピーされたイベントの時間範囲を選択します。
-
デフォルトでは、 は S3 バケットの
CloudTrailプレフィックスとプレフィックス内のCloudTrailプレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、証跡イベントをコピーするときにプレフィックスを選択する必要があります。 -
証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。委任された管理者アカウントを使用して、組織のイベントデータストアに証跡イベントをコピーすることはできません。
証跡イベントのコピーに必要な許可
証跡イベントをコピーする前に、IAMロールに必要なすべてのアクセス許可があることを確認してください。証跡イベントをコピーするために既存のIAMロールを選択した場合のみ、IAMロールのアクセス許可を更新する必要があります。新しいIAMロールを作成することを選択した場合、 はロールに必要なすべてのアクセス許可 CloudTrail を提供します。
ソース S3 バケットがデータ暗号化にKMSキーを使用する場合は、KMSキーポリシーで CloudTrail がバケット内のデータを復号化できることを確認してください。ソース S3 バケットが複数のKMSキーを使用している場合は、 CloudTrail がバケット内のデータを復号できるように、各キーのポリシーを更新する必要があります。
IAM 証跡イベントをコピーするための アクセス許可
証跡イベントをコピーするときは、新しいIAMロールを作成するか、既存のIAMロールを使用するかを選択できます。新しいIAMロールを選択すると、 は必要なアクセス許可を持つ IAMロール CloudTrail を作成し、ユーザー側でそれ以上のアクションは必要ありません。
既存のロールを選択する場合は、IAMロールのポリシーで CloudTrail がソース S3 バケットから証跡イベントをコピーできることを確認します。このセクションでは、必要なIAMロールのアクセス許可と信頼ポリシーの例を示します。
次の例は、 CloudTrail がソース S3 バケットから証跡イベントをコピーできるようにするアクセス許可ポリシーを示しています。amzn-s3-demo-bucket、myAccountID、、region、 を、設定に適した値prefixeventDataStoreIdに置き換えます。myAccountID は CloudTrail Lake に使用される AWS アカウント ID であり、S3 バケットの AWS アカウント ID とは異なる場合があります。
key-region、keyAccountID、および を、ソース S3 バケットの暗号化に使用されるKMSキーの値keyIDに置き換えます。ソース S3 バケットが暗号化にKMSキーを使用しない場合は、 AWSCloudTrailImportKeyAccessステートメントを省略できます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": ["s3:ListBucket", "s3:GetBucketAcl"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }, { "Sid": "AWSCloudTrailImportObjectAccess", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }, { "Sid": "AWSCloudTrailImportKeyAccess", "Effect": "Allow", "Action": ["kms:GenerateDataKey","kms:Decrypt"], "Resource": [ "arn:aws:kms:key-region:keyAccountID:key/keyID" ] } ] }
次の例は、 が IAMロール CloudTrail を引き受けてソース S3 バケットから証跡イベントをコピーできるようにするIAM信頼ポリシーを示しています。myAccountID、region、および を、設定に適した値eventDataStoreArnに置き換えます。myAccountID は CloudTrail Lake に使用される AWS アカウント ID であり、S3 バケットの AWS アカウント ID とは異なる場合があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } } ] }
証跡イベントのコピー用の Amazon S3 バケットポリシー
デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。リソース所有者 (バケットを作成した AWS アカウント) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
証跡イベントをコピーする前に、S3 バケットポリシーを更新して、 CloudTrail がソース S3 バケットから証跡イベントをコピーできるようにする必要があります。
S3 バケットポリシーに次のステートメントを追加することで、これらのアクセス許可を付与できます。roleArn と を、設定に適した値amzn-s3-demo-bucketに置き換えます。
{ "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetObject" ], "Principal": { "AWS": "roleArn" }, "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] },
KMS ソース S3 バケット内のデータを復号するための キーポリシー
ソース S3 バケットがデータ暗号化にKMSキーを使用する場合、KMSキーポリシーで、 SSE暗号化を有効に CloudTrail して S3 バケットから証跡イベントをコピーするために必要な kms:DecryptKMSおよび アクセスkms:GenerateDataKey許可が に付与されていることを確認します。ソース S3 バケットが複数のKMSキーを使用している場合は、各キーのポリシーを更新する必要があります。KMS キーポリシーを更新すると、 CloudTrail はソース S3 バケット内のデータを復号し、検証チェックを実行してイベントが標準に準拠 CloudTrailしていることを確認して、イベントを CloudTrail Lake イベントデータストアにコピーできます。
次の例では、 がソース S3 バケット内のデータを復号できるようにする CloudTrail KMSキーポリシーを提供します。roleArn、amzn-s3-demo-bucket、、myAccountID、 を、設定に適した値regioneventDataStoreIdに置き換えます。myAccountID は CloudTrail Lake に使用される AWS アカウント ID であり、S3 バケットの AWS アカウント ID とは異なる場合があります。
{ "Sid": "AWSCloudTrailImportDecrypt", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Principal": { "AWS": "roleArn" }, "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }
