翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
トレイルイベントを CloudTrail Lake にコピーする
既存のトレイルイベントを CloudTrail Lake イベントデータストアにコピーして、 point-in-timeトレイルに記録されたイベントのスナップショットを作成できます。証跡イベントをコピーしても、イベントをログに記録する証跡の機能が損なわれることはなく、証跡が変更されることもありません。
CloudTrail トレイルイベントをイベント用に構成された既存のイベントデータストアにコピーすることも、 CloudTrail 新しいイベントデータストアを作成して、イベントデータストアの作成の一部として [トレイルイベントのコピー] オプションを選択することもできます。証跡イベントを既存のイベントデータストアにコピーする方法の詳細については、「コンソールを使用して、トレイルイベントを既存のイベントデータストアにコピーします。 CloudTrail 」を参照してください。新しいイベントデータストアの作成方法に関する詳細は、「 CloudTrailイベント用のイベントデータストアを作成します。」を参照してください。
トレイルイベントを CloudTrail Lake イベントデータストアにコピーすると、コピーしたイベントに対してクエリを実行できます。 CloudTrail Lake クエリでは、イベント履歴や実行中の単純なキーや値の検索よりも、より詳細でカスタマイズ可能なイベントを表示できます。LookupEvents CloudTrail Lake の詳細については、を参照してください。AWS CloudTrail レイクとの協力
証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。組織の委任された管理者アカウントを使用して、証跡イベントをコピーすることはできません。
CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake CloudTrail コストの価格設定と管理について詳しくは、「AWS CloudTrail 料金表
トレイルイベントを CloudTrail Lake イベントデータストアにコピーすると、イベントデータストアが取り込む非圧縮データの量に基づいて料金が発生します。
トレイルイベントを CloudTrail Lake にコピーすると、gzip(圧縮) CloudTrail 形式で保存されているログを解凍し、ログに含まれるイベントをイベントデータストアにコピーします。非圧縮データのサイズは、実際の S3 ストレージサイズよりも大きくなる可能性があります。圧縮されていないデータのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。
コピーするイベントの時間範囲を短くすることで、コストを削減できます。コピーしたイベントのクエリにイベントデータストアのみを使用する予定の場合は、イベントの取り込みを無効にして、今後のイベントで料金が発生しないようにすることができます。詳細については、「AWS CloudTrail 料金表
シナリオ
次の表は、証跡イベントのコピーに関する一般的なシナリオと、コンソールを使用して各シナリオを実行する方法について示したものです。
| シナリオ | どうすればコンソールでこれを実行できますか? |
|---|---|
|
新しいイベントを取り込むことなく、 CloudTrail Lake の過去のトレイルイベントの分析とクエリを行います。 |
新しいイベントデータストアを作成し、イベントデータストアを作成する一環として [証跡イベントをコピー] を選択します。イベントデータストアを作成する際には、[イベントを取り込む] (手順のステップ 15) の選択を解除し、イベントデータストアが確実に証跡の過去のイベントのみを含み、未来のイベントは含まれないようにします。 |
|
既存のトレイルを CloudTrail Lake イベントデータストアに置き換えます。 |
証跡と同じイベントセレクターを持つイベントデータストアを作成し、イベントデータストアの対象範囲が証跡と同じであることを確認します。 ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成より前の、コピーされたイベントの日付範囲を選択します。 イベントデータストアを作成したら、証跡のログ記録をオフにします。そうすれば、追加料金の発生を防げます。 |
証跡イベントのコピーに関する留意事項
証跡イベントをコピーする場合は、以下の要素を考慮してください。
-
トレイルイベントをコピーする場合、S3
GetObjectAPI CloudTrail オペレーションを使用してソース S3 バケットのトレイルイベントを取得します。S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive、S3 Outposts、S3 Intelligent-Tiering Deep Archive 階層など、一部の S3 でアーカイブされたストレージクラスには、GetObjectを使用してアクセスできません。これらのアーカイブ済みストレージ クラスに保存されている証跡イベントをコピーするには、まず S3RestoreObjectオペレーションでコピーを復元する必要があります。アーカイブされたオブジェクトの復元の詳細については、「Amazon S3 ユーザーガイド」の「アーカイブされたオブジェクトの復元」を参照してください。 -
トレイルイベントをイベントデータストアにコピーすると、 CloudTrail コピー先のイベントデータストアのイベントタイプ、高度なイベントセレクター、 AWS リージョンまたはの設定に関係なく、すべてのトレイルイベントがコピーされます。
-
証跡イベントを既存のイベントデータストアにコピーする前に、そのイベントデータストアの料金設定オプションと保持期間が、ご自身のユースケースについて適切に設定されていることを確認してください。
-
料金オプション: 料金オプションによって、イベントの取り込みと保存にかかるコストが決まります。料金オプションの詳細については、「AWS CloudTrail 料金表
」および「イベントデータストアの料金オプション」を参照してください。 -
保存期間:保持期間によって、イベントデータがイベントデータストアに保持される期間が決まります。 CloudTrail
eventTimeイベントデータストアの保持期間内であるトレイルイベントのみをコピーします。適切な保存期間を決定するには、コピーする最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数 (保持期間 =oldest-event-in-days+number-days-to-retain) の合計を計算します。例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
-
-
調査のため証跡イベントをイベントデータストアにコピーしており、それ以上のイベントを取り込む必要がない場合は、イベントデータストアへの取り込みを停止できます。イベントデータストアを作成する際に、[イベントを取り込む] オプション (手順のステップ 15) の選択を解除し、イベントデータストアは確実に証跡の過去のイベントのみを含み、未来のイベントは含まれないようにします。
-
証跡イベントをコピーする前に、ソース S3 バケットにアタッチされているアクセスコントロールリスト (ACL) をすべて無効にして、送信先イベントデータストアの S3 バケットポリシーを更新します。S3 バケットとポリシーの更新の詳細については、「証跡イベントのコピー用の Amazon S3 バケットポリシー」を参照してください。ACL の無効化の詳細については、「オブジェクトの所有権の制御とバケットの ACL の無効化」を参照してください。
-
CloudTrail ソース S3 バケットにある Gzip 圧縮ログファイルからのトレイルイベントのみをコピーします。 CloudTrail 圧縮されていないログファイルや Gzip 以外の形式で圧縮されたログファイルからはトレイルイベントをコピーしません。
-
ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の、コピーされたイベントの時間範囲を選択します。
-
デフォルトでは、S3 CloudTrail CloudTrail
CloudTrailバケットのプレフィックスに含まれるイベントとプレフィックス内のプレフィックスのみをコピーし、CloudTrail他のサービスのプレフィックスをチェックしません。 AWS CloudTrail 別のプレフィックスに含まれるイベントをコピーする場合は、トレイルイベントをコピーするときにプレフィックスを選択する必要があります。 -
証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。委任された管理者アカウントを使用して、組織のイベントデータストアに証跡イベントをコピーすることはできません。
証跡イベントのコピーに必要な許可
トレイルイベントをコピーする前に、IAM ロールに必要な権限がすべて揃っていることを確認してください。IAM ロールの許可を更新する必要があるのは、既存の IAM ロールを選択して証跡イベントをコピーする場合だけです。新しい IAM ロールを作成する場合は、 CloudTrail そのロールに必要なすべての権限が付与されます。
ソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、KMS CloudTrail キーポリシーでバケット内のデータの復号化が許可されていることを確認してください。ソース S3 バケットが複数の KMS キーを使用している場合は、 CloudTrail バケット内のデータの復号を許可するように各キーのポリシーを更新する必要があります。
証跡イベントをコピーするための IAM 許可
証跡イベントをコピーする場合は、新しい IAM ロールを作成するか、既存の IAM ロールを使用するか選択できます。新しい IAM ロールを選択すると、必要な権限を持つ IAM CloudTrail ロールが作成されます。ユーザー側でこれ以上アクションを行う必要はありません。
既存のロールを選択する場合は、IAM ロールのポリシーでソース S3 CloudTrail バケットからトレイルイベントをコピーできることを確認してください。このセクションでは、必要な IAM ロールのアクセス許可と信頼ポリシーの例を示します。
次の例は、ソース S3 CloudTrail バケットからトレイルイベントをコピーすることを許可するアクセス権限ポリシーを示しています。myAccountId、リージョン、プレフィックス、eventDataStoreId を、設定に適した値に置き換えますmyBucketName。MyAccountId は CloudTrail Lake AWS に使用されるアカウント ID であり、S3 AWS バケットのアカウント ID とは異なる場合があります。
key-region、keyAccountID、keyID を、ソース S3 バケットの暗号化に使用する KMS キーの値に置き換えます。送信元 S3 バケットが暗号化に KMS キーを使用しない場合は、AWSCloudTrailImportKeyAccess ステートメントを省略できます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": ["s3:ListBucket", "s3:GetBucketAcl"], "Resource": [ "arn:aws:s3:::myBucketName" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }, { "Sid": "AWSCloudTrailImportObjectAccess", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::myBucketName/prefix", "arn:aws:s3:::myBucketName/prefix/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }, { "Sid": "AWSCloudTrailImportKeyAccess", "Effect": "Allow", "Action": ["kms:GenerateDataKey","kms:Decrypt"], "Resource": [ "arn:aws:kms:key-region:keyAccountID:key/keyID" ] } ] }
次の例は IAM 信頼ポリシーを示しています。これにより、IAM CloudTrail ロールを引き受け、ソース S3 バケットからトレイルイベントをコピーできます。myAccountId、リージョン、eventDataStoreID を設定に適した値に置き換えてください。MyAccountID は CloudTrail Lake AWS に使用されるアカウント ID であり、S3 AWS バケットのアカウント ID とは異なる場合があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } } ] }
証跡イベントのコピー用の Amazon S3 バケットポリシー
デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。リソース所有者 (バケットを作成した AWS アカウント) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
トレイルイベントをコピーする前に、S3 バケットポリシーを更新して、 CloudTrail バケットからトレイルイベントをコピーできるようにする必要があります。
S3 バケットポリシーに次のステートメントを追加して、これらの権限を付与できます。roleArn とを実際の構成に適した値に置き換えてください。myBucketName
{ "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetObject" ], "Principal": { "AWS": "roleArn" }, "Resource": [ "arn:aws:s3:::myBucketName", "arn:aws:s3:::myBucketName/*" ] },
ソース S3 バケット内のデータを復号化するための KMS キーポリシー
ソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、SSE-KMS 暗号化が有効になっている S3 kms:Decrypt kms:GenerateDataKey バケットからトレイルイベントをコピーするのに必要なおよび権限が KMS キーポリシーに含まれていることを確認してください。 CloudTrail ソース S3 バケットが複数の KMS キーを使用している場合は、各キーポリシーを更新する必要があります。KMS キーポリシーを更新すると CloudTrail 、ソース S3 バケットのデータを復号化し、 CloudTrail検証チェックを実行してイベントが標準に準拠していることを確認し、イベントを Lake イベントデータストアにコピーできるようになります。 CloudTrail
次の例は、ソース S3 バケットのデータを復号化できる CloudTrail KMS キーポリシーを示しています。roleArn 、myBucketNameMyAccountId、リージョン、eventDataStoreID は、構成に適した値に置き換えてください。MyAccountID は CloudTrail Lake AWS に使用されるアカウント ID であり、S3 バケットのアカウント ID とは異なる場合があります。 AWS
{ "Sid": "AWSCloudTrailImportDecrypt", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Principal": { "AWS": "roleArn" }, "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::myBucketName/*" }, "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }
コンソールを使用して、トレイルイベントを既存のイベントデータストアにコピーします。 CloudTrail
以下の手順を実行し、証跡イベントを既存のイベントデータストアにコピーします。新しいイベントデータストアの作成方法に関する詳細は、「 CloudTrailイベント用のイベントデータストアを作成します。」を参照してください。
注記
証跡イベントを既存のイベントデータストアにコピーする前に、そのイベントデータストアの料金設定オプションと保持期間が、ご自身のユースケースについて適切に設定されていることを確認してください。
-
料金オプション: 料金オプションによって、イベントの取り込みと保存にかかるコストが決まります。料金オプションの詳細については、「AWS CloudTrail 料金表
」および「イベントデータストアの料金オプション」を参照してください。 -
保存期間:保持期間によって、イベントデータがイベントデータストアに保持される期間が決まります。 CloudTrail
eventTimeイベントデータストアの保持期間内であるトレイルイベントのみをコピーします。適切な保存期間を決定するには、コピーする最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数 (保持期間 =oldest-event-in-days+number-days-to-retain) の合計を計算します。例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
イベントデータストアに証跡イベントをコピーするには
-
AWS Management Console にサインインし、https://console.aws.amazon.com/cloudtrail/ CloudTrail
のコンソールを開きます。 -
CloudTrail コンソールの左側のナビゲーションペインで [Trails] を選択します。
-
[Trails] (追跡) ページで、証跡を選択し、次に[Copy events to Lake] (イベントを Lake にコピー) を選択します。トレイルのソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、KMS CloudTrail キーポリシーでバケット内のデータの復号化が許可されていることを確認してください。ソース S3 バケットが複数の KMS キーを使用している場合は、 CloudTrail バケット内のデータの復号を許可するように各キーのポリシーを更新する必要があります。KMS キーポリシーの更新の詳細については、「ソース S3 バケット内のデータを復号化するための KMS キーポリシー」を参照してください。
-
(オプション) デフォルトでは、S3 CloudTrail CloudTrail
CloudTrailバケットのプレフィックスに含まれるイベントとプレフィックス内のプレフィックスのみをコピーし、CloudTrail他のサービスのプレフィックスをチェックしません。 AWS CloudTrail 別のプレフィックスに含まれるイベントをコピーする場合は、[Enter S3 URI] を選択し、[Browse S3] を選択してプレフィックスを参照します。S3 バケットポリシーは、 CloudTrail トレイルイベントをコピーするためのアクセス権を付与する必要があります。S3 バケットとポリシーの更新の詳細については、「証跡イベントのコピー用の Amazon S3 バケットポリシー」を参照してください。
-
[イベントの時間範囲を指定] で、イベントをコピーする時間範囲を選択します。 CloudTrail トレイルイベントをコピーする前に、プレフィックスとログファイル名をチェックして、選択した開始日と終了日の間の日付が名前に含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。
注記
CloudTrail
eventTimeイベントデータストアの保存期間内のトレイルイベントのみをコピーします。たとえば、イベントデータストアの保持期間が 90 日の場合、90 CloudTraileventTime日以上前のトレイルイベントはコピーされません。[相対範囲] を選択すると、過去 6 か月、1 年、2 年、7 年間に記録されたイベントをコピーするか、またはカスタム範囲をコピーするかを選択できます。 CloudTrail 選択した期間内に記録されたイベントをコピーします。
[絶対範囲] を選択すると、特定の開始日と終了日を選択できます。 CloudTrail 選択した開始日と終了日の間に発生したイベントをコピーします。
-
[Delivery location] (配信場所) で、ドロップダウンリストから配信先イベントデータストアを選択します。
-
[Permissions] (アクセス許可) については、以下の IAM ロールのオプションから選択します。既存の IAM ロールを選択する場合は、IAM ロールポリシーが必要なアクセス許可を提供していることを確認してください。IAM ロールの許可の更新の詳細については、「証跡イベントをコピーするための IAM 許可」を参照してください。
[Create a new role (recommended)] (新しいロールの作成 (推奨)) を選択して、新しい IAM ロールを作成します。[Enter IAM role name] (IAM ロール名を入力してください) に、ロールの名前を入力します。 CloudTrail この新しいロールに必要な権限が自動的に作成されます。
リストにないカスタム IAM ロールを使用するには、[カスタム IAM ロール ARN を使用] を選択します。[Enter IAM role ARN] (IAM ロールの ARN を入力) で、IAM ARN を入力します。
ドロップダウンリストから既存の IAM ロールを選択します。
-
[Copy events] (イベントをコピー) を選択します。
-
コピーの確認を求めるプロンプトが表示されます。確認する準備ができたら、[Copy trail events to Lake] (証跡イベントを Lake にコピー) を選択してから[Copy events] (イベントをコピー) を選択します。
-
[Copy details] (コピーの詳細) ページで、コピーの状態を確認し、エラーを確認できます。証跡イベントのコピーが完了すると、その[Copy status] (コピー ステータス) は、エラーがない場合は[Completed] (完了) に設定され、エラーが発生した場合は[Failed] (失敗) に設定されます。
注記
イベントコピーの詳細ページに表示される詳細は、リアルタイムではありません。[Prefixes copied] (コピーされたプレフィックス) などの詳細の実際の値は、ページに表示される値よりも高くなる場合があります。 CloudTrail イベントコピーの過程で、詳細を段階的に更新します。
-
[Copy status] (コピーのステータス) が[Failed] (失敗) の場合は、[Copy failures] (コピーの失敗) に示されているエラーを修正し、[Retry copy] (コピーの再試行) を選択します。コピーを再試行すると、 CloudTrail 障害が発生した場所でコピーが再開されます。
証跡イベントコピーの詳細を表示する方法については、「イベントコピーの詳細」を参照してください。
