CloudTrail コンソールを使用した証跡の作成 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail コンソールを使用した証跡の作成

ベストプラクティスとして、すべての AWS リージョンに適用される証跡を作成します。これは、コンソールで証跡を作成するときの CloudTrailデフォルト設定です。証跡がすべてのリージョンに適用されると、 は、指定した S3 バケットに作業しているAWS パーティション内のすべてのリージョンからログファイルを CloudTrail 配信します。証跡を作成すると、 は指定したイベントのログ AWS CloudTrail 記録を自動的に開始します。

注記

証跡を作成したら、 CloudTrail ログに収集されたイベントデータをさらに分析してそれに基づいて行動 AWS のサービス するように他の を設定できます。詳細については、「AWS サービスと CloudTrail ログの統合」を参照してください。

コンソールで証跡を作成する

マルチリージョン証跡を作成するには、次の手順に従います。単一リージョンでイベントのログ記録を行うには (非推奨)、AWS CLIを使用します

を使用して CloudTrail 証跡を作成するには AWS Management Console
  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. CloudTrail サービスのホームページ、証跡ページ、またはダッシュボードページの証跡セクションで、証跡の作成 を選択します。

  3. [Create Trail] (証跡の作成) ページの [Trail name] (証跡名) に証跡の名前を入力します。詳細については、「 CloudTrail リソース、S3 バケット、およびKMSキーの命名要件」を参照してください。

  4. これが AWS Organizations 組織の証跡である場合は、組織内のすべてのアカウントの証跡を有効にできます。このオプションを表示するには、管理アカウントまたは委任された管理者アカウントのユーザーまたはロールでコンソールにサインインする必要があります。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。詳細については、「組織の証跡の作成 」を参照してください。

  5. [ストレージの場所] で、[新しい S3 バケットを作成する] を選択すると、新しいバケットが作成されます。バケットを作成すると、 CloudTrail は必要なバケットポリシーを作成して適用します。新しい S3 バケットを作成する場合は、デフォルトでバケットのサーバー側の暗号化が有効になっているため、IAMポリシーにs3:PutEncryptionConfigurationアクションのアクセス許可を含める必要があります。

    注記

    [既存の S3 バケットを使用する] を選択した場合、[証跡ログバケット名] のバケットを指定するか、[参照] を選択してお使いのアカウントのバケットを選択します。別のアカウントのバケットを使用する場合は、バケット名を指定する必要があります。バケットポリシーは、書き込み CloudTrail 許可を付与する必要があります。バケットポリシーを手動で編集する方法については、の Amazon S3 バケットポリシー CloudTrail を参照してください。

    ログを見つけやすくするには、既存のバケットに新しいフォルダ (プレフィックス とも呼ばれます) を作成して CloudTrail ログを保存します。プレフィックスを [プレフィックス] に入力します。

  6. ログファイル SSE-KMS 暗号化 の場合、SSE-S3 暗号化の代わりに SSE-KMS 暗号化を使用してログファイルを暗号化する場合は、有効 を選択します。デフォルトは [Enabled] です。SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、AWS Key Management Service 「 (SSE-KMS) を使用したサーバー側の暗号化の使用」を参照してください。SSE-S3 暗号化の詳細については、「Amazon S3-Managed暗号化キーによるサーバー側の暗号化の使用 (SSE-S3)」を参照してください。

    SSE-KMS 暗号化を有効にする場合は、新規または既存の AWS KMS keyを選択します。AWS KMS エイリアス で、 形式でエイリアスを指定します。 alias/MyAliasName。 詳細については、「」を参照してくださいコンソールでKMSキーを使用するようにリソースを更新する。 CloudTrail は、 AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    注記

    別のアカウントからキーARNの を入力することもできます。詳細については、「コンソールでKMSキーを使用するようにリソースを更新する」を参照してください。キーポリシーでは、 CloudTrail が キーを使用してログファイルを暗号化し、指定したユーザーが暗号化されていない形式でログファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、の AWS KMS キーポリシーを設定する CloudTrail を参照してください。

  7. [Additional settings] で、次の操作を行います。

    1. [ログファイル検証を有効にする] で [Enabled] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルを使用して、配信後にログファイルが変更されていないことを確認できます CloudTrail 。詳細については、「 CloudTrail ログファイルの整合性の検証」を参照してください。

    2. SNS 通知配信 では、ログがバケットに配信されるたびに通知されるように有効化を選択します。 は、ログファイルに複数のイベント CloudTrail を保存します。SNS 通知は、すべてのイベントではなく、すべてのログファイルに送信されます。詳細については、「の Amazon SNS通知の設定 CloudTrail」を参照してください。

      SNS 通知を有効にする場合は、新しいSNSトピックを作成する で「新規」を選択してトピックを作成するか、「既存」を選択して既存のトピックを使用します。すべてのリージョンに適用される証跡を作成する場合、すべてのリージョンからのログファイル配信SNSの通知は、作成する単一のSNSトピックに送信されます。

      新しい を選択した場合、 は新しいトピックの名前 CloudTrail を指定するか、名前を入力できます。既存の を選択した場合は、ドロップダウンリストからSNSトピックを選択します。別のリージョンまたは適切なアクセス許可を持つアカウントからトピックARNの を入力することもできます。詳細については、「の Amazon SNSトピックポリシー CloudTrail」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。Amazon SNSコンソールからサブスクライブできます。通知の頻度が高いため、Amazon SQSキューを使用して通知をプログラムで処理するようにサブスクリプションを設定することをお勧めします。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon の使用開始SNS」を参照してください。

  8. オプションで、 CloudWatch ログで有効 を選択してログファイルをCloudWatch ログに送信する CloudTrail ように を設定します。詳細については、「 CloudWatch ログへのイベントの送信」を参照してください。

    1. CloudWatch Logs との統合を有効にする場合は、新規を選択して新しいロググループを作成するか、既存を選択して既存のロググループを使用します。新しい を選択した場合、 は新しいロググループの名前 CloudTrail を指定するか、名前を入力できます。

    2. [Existing] を選択した場合、ドロップダウンリストからロググループを選択します。

    3. 新規 を選択して、ログを CloudWatch ログに送信するアクセス許可の新しいIAMロールを作成します。既存の を選択して、ドロップダウンリストから既存のIAMロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。このロールの詳細については、「が CloudWatch ログ CloudTrail をモニタリングに使用するロールポリシードキュメント」を参照してください。

      注記
      • 証跡を設定するときは、別のアカウントに属する S3 バケットとSNSトピックを選択できます。ただし、イベントを CloudWatch Logs ロググループに CloudTrail 配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。

      • 管理アカウントのみが、 コンソールを使用して組織証跡の CloudWatch Logs ロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail CreateTrail UpdateTrailAPIオペレーションを使用して CloudWatch Logs ロググループを設定できます。

  9. タグ では、最大 50 個のタグキーペアを追加して、証跡へのアクセスを識別、ソート、制御できます。タグは、証 CloudTrail 跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、リソースに CloudTrail リソースグループを使用できます。詳細については、「AWS Resource Groups」および「タグ」を参照してください。

  10. [Choose log events] ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. API アクティビティ では、証跡に読み取りイベント、書き込みイベント、またはその両方を記録するかどうかを選択します。詳細については、「管理イベント」を参照してください。

    2. 除外 AWS KMS イベントを選択して、証跡から AWS Key Management Service (AWS KMS) イベントをフィルタリングします。デフォルト設定では、すべての AWS KMS イベントが含まれます。

      AWS KMS イベントをログに記録するか除外するかのオプションは、証跡に管理イベントをログ記録する場合にのみ使用できます。管理イベントを記録しないことを選択した場合、 AWS KMS イベントは記録されず、 AWS KMS イベントログ記録設定を変更することはできません。

      AWS KMS Encrypt、、 などのアクションはDecryptGenerateDataKey通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。Disable、、 ScheduleKey (通常は AWS KMS イベントボリュームの 0.5% 未満を占める) などの低ボリュームの関連 AWS KMS アクションはDelete書き込みイベントとして記録されます。

      EncryptDecrypt、 などの大量のイベントを除外してもGenerateDataKeyDisableDelete、 などの関連イベントをログに記録するにはScheduleKey書き込み管理イベントをログに記録し、除外 AWS KMS イベント のチェックボックスをオフにします。

    3. Amazon RDS Data APIイベントを除外を選択して、証跡から Amazon Relational Database Service Data APIイベントをフィルタリングします。デフォルト設定では、すべての Amazon RDS Data APIイベントが含まれます。Amazon RDS Data APIイベントの詳細については、「Aurora 用 Amazon RDSユーザーガイド」の「 によるデータAPI呼び出しのログ記録 AWS CloudTrail」を参照してください。

  11. データイベントをログに記録するには、[データイベント] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail 料金」を参照してください。

  12. 重要

    ステップ 12 ~ 16 は、デフォルトである高度なイベントセレクターを使用してデータイベントを設定するためのものです。高度なイベントセレクターでは、より多くのデータイベントタイプを設定し、証跡でキャプチャするデータイベントをきめ細かく制御できます。基本的なイベントセレクターを使用する場合は、基本的なイベントセレクターを使用してデータイベント設定を構成する のステップを完了してから、この手順のステップ 17 に戻ってください。

    [データイベントタイプ] で、データイベントをログ記録するリソースのタイプを選択します。使用可能なデータイベントタイプの詳細については、「データイベント」を参照してください。

    注記

    Lake Formation によって作成された AWS Glue テーブルのデータイベントをログに記録するには、Lake Formation を選択します。

  13. ログセレクタテンプレートを選択します。 には、リソースタイプのすべてのデータイベントを記録する事前定義されたテンプレート CloudTrail が含まれます。カスタムログセレクタテンプレートを構築するには、[Custom] を選択します。

    注記

    S3 バケットの事前定義されたテンプレートを選択すると、 AWS アカウント内のすべてのバケットと、証跡の作成が完了した後に作成したバケットのデータイベントログ記録が可能になります。また、別の アカウントに属するバケットでそのアクティビティが実行された場合でも、アカウント AWS 内の任意の IAM ID によって実行されるデータイベントアクティビティのログ記録が可能になります AWS 。

    証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントはログに記録されません。

    すべてのリージョンの証跡を作成する場合、Lambda 関数の事前定義されたテンプレートを選択すると、 AWS アカウント内のすべての関数と、証跡の作成が終了した後に任意のリージョンで作成できる Lambda 関数のデータイベントログ記録が有効になります。単一のリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、この選択により、 AWS アカウント内のそのリージョンに現在存在するすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    すべての関数のデータイベントをログに記録すると、 AWS アカウント内の任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も可能になります。これは、そのアクティビティが別の AWS アカウントに属する関数で実行される場合でも同様です。

  14. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名はアドバンストイベントセレクタ Name に としてリストされ、JSONビュー を展開すると表示できます。

  15. [Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

    1. 次のフィールドから選択します。

      • readOnly - readOnly は、 true または の値と等しくなるように設定できますfalse。読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

      • eventName - eventName は任意の演算子を使用できます。これを使用して、、、 など CloudTrail、 に記録されたデータイベントを含めるPutBucketGetItemか除外できますGetSnapshotBlock

      • resources.ARN - 演算子は で使用できますがresources.ARN等しい等しくない場合は、テンプレートで指定したタイプの有効なリソースARNの を の値として正確に一致させる必要がありますresources.type

        次の表は、各 の有効なARN形式を示していますresources.type

        注記

        resources.ARN フィールドを使用して、 を持たないリソースタイプをフィルタリングすることはできませんARNs。

        resources.type リソース。ARN
        AWS::DynamoDB::Table1
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
        AWS::AppConfig::Configuration
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::FlowAlias
        arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
        AWS::Bedrock::Guardrail
        arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
        AWS::Bedrock::KnowledgeBase
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Bedrock::Model

        は、次のいずれかの形式ARNである必要があります。

        • arn:partition:bedrock:region::foundation-model/resource_ID

        • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

        • arn:partition:bedrock:region:account_ID:custom-model/resource_ID

        AWS::Cassandra::Table
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DataExchange::Asset
        arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
        AWS::Deadline::Fleet
        arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
        AWS::Deadline::Job
        arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
        AWS::Deadline::Queue
        arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
        AWS::Deadline::Worker
        arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
        AWS::DynamoDB::Stream
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::MachineLearning::MlModel
        arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
        AWS::ManagedBlockchain::Network
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::One::UKey
        arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
        AWS::One::User
        arn:partition:one:region:account_ID:user/user_ID
        AWS::PaymentCryptography::Alias
        arn:partition:payment-cryptography:region:account_ID:alias/alias
        AWS::PaymentCryptography::Key
        arn:partition:payment-cryptography:region:account_ID:key/key_ID
        AWS::PCAConnectorAD::Connector
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::PCAConnectorSCEP::Connector
        arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
        AWS::QApps:QApp
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster
        arn:partition:rds:region:account_ID:cluster/cluster_name
        AWS::RUM::AppMonitor
        arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

        AWS::S3::AccessPoint3

        arn:partition:s3:region:account_ID:accesspoint/access_point_name

        AWS::S3Express::Object

        arn:partition:s3express:region:account_ID:bucket/bucket_name
        AWS::S3ObjectLambda::AccessPoint
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic
        arn:partition:sns:region:account_ID:topic_name
        AWS::SocialMessaging::PhoneNumberId

        arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID

        AWS::SQS::Queue
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        は、次のいずれかの形式ARNである必要があります。

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID

        AWS::SSMMessages::ControlChannel
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        は、次のいずれかの形式ARNである必要があります。

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name

        AWS::SWF::Domain
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するには、 eventNameフィールドにフィルターを追加します。

        2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、 StartsWith演算子を使用し、一致する値ARNとしてバケットのみを含めます。末尾のスラッシュは意図的です。除外しないでください。

        3 S3 アクセスポイント内のすべてのオブジェクトでイベントをログに記録するには、アクセスポイント のみを使用しARN、オブジェクトパスを含めず、 StartsWith または NotStartsWith演算子を使用することをお勧めします。

      データイベントリソースのARN形式の詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「アクション、リソース、および条件キー」を参照してください。

    2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、2 つの S3 バケットのデータイベントをイベントデータストアに記録されたデータイベントから除外するには、 フィールドを リソースに設定します。ARN の演算子を で開始せず、S3 バケット に貼り付けるかARN、イベントをログに記録しない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、+ 条件 を選択し、前の手順を繰り返し、 ARN for に貼り付けるか、別のバケットを参照します。

      が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいが フィールドの複数の条件 CloudTrail を評価する方法

      注記

      イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

    3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、1 つのセレクタARNで を値に等しくするように指定せず、別のセレクタで を同じ値ARNにしないように指定します。

  16. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。ステップ 12 からこのステップを繰り返し、データイベントタイプのアドバンストイベントセレクタを設定します。

  17. ネットワークアクティビティイベントを記録するには、ネットワークアクティビティイベント を選択します。ネットワークアクティビティイベントを使用すると、VPCエンドポイント所有者は、プライベートから VPC へのVPCエンドポイントを使用して行われた呼び出しを記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail 料金」を参照してください。

    注記

    ネットワークアクティビティイベントは のプレビューリリース中 CloudTrail であり、変更される可能性があります。

    ネットワークアクティビティイベントを記録するには、以下を実行します。

    1. ネットワークアクティビティイベントソース から、ネットワークアクティビティイベントのソースを選択します。

    2. [Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録するか、すべてのネットワークアクティビティアクセス拒否イベントをログに記録するか、カスタムを選択してカスタムログセレクタを構築し、 eventNameや などの複数のフィールドでフィルタリングすることができますvpcEndpointId

    3. (オプション) セレクターを識別する名前を入力します。セレクタ名はアドバンストイベントセレクタに名前としてリストされ、JSONビュー を展開すると表示できます。

    4. アドバンストイベントセレクタでは、フィールド 、演算子 、および値 の値を選択して式を構築します。 事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

      1. ネットワークアクティビティイベントを除外または含める場合は、コンソールの次のフィールドから選択できます。

        • eventName – 任意の演算子を で使用できますeventName。これを使用して、 などのイベントを含めたり除外したりできますCreateKey

        • errorCode – エラーコードをフィルタリングするために使用できます。現在、サポートされているのerrorCodeは のみですVpceAccessDenied

        • vpcEndpointId – オペレーションが通過したVPCエンドポイントを識別します。では、任意の演算子を使用できますvpcEndpointId

      2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

      3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

    5. ネットワークアクティビティイベントを記録する別のイベントソースを追加するには、ネットワークアクティビティイベントセレクタの追加 を選択します。

    6. 必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。

  18. 証跡で Insights イベントをログ CloudTrailに記録する場合は、Insights イベントを選択します。

    [Event type] で、[Insights events] を選択します。API 通話レート の Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラーレート の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。

    CloudTrail Insights は、異常なアクティビティについて管理イベントを分析し、異常が検出されたときにイベントを記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「Insights イベントのログ記録」を参照してください。Insights イベントの記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「料金」を参照してください。

    Insights イベントは、証跡の詳細ページのストレージロケーションエリアで指定されている同じ S3 バケットの名前/CloudTrail-Insightの異なるフォルダに配信されます。 CloudTrailは新しいプレフィックスを作成します。たとえば、現在の送信先 S3 バケットの名前が amzn-s3-demo-bucket/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/ になります。

  19. ログに記録するイベントタイプの選択が終了したら、[Next] を選択します。

  20. [Review and create] ページで選択内容を確認します。[Edit] を選択して、そのセクションに表示される証跡設定を変更します。証跡を作成する準備ができたら、[Create trail] を選択します。

  21. 新しい証跡が [Trails] (証跡) ページに表示されます。約 5 分で、 はアカウントで行われた AWS API呼び出しを示すログファイル CloudTrail を発行します。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。Insights イベントログ記録を有効にしていて、異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 36 時間かかることがあります。

    注記

    CloudTrail は通常、API通話から平均約 5 分以内にログを配信します。この時間は保証されません。詳細については、「AWS CloudTrail サービスレベルアグリーメント」をご覧ください。

    証跡を誤って設定した場合 (S3 バケットに到達できないなど)、 CloudTrail はログファイルを S3 バケットに 30 日間再配信しようとします。これらの attempted-to-deliverイベントには標準 CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。

基本的なイベントセレクターを使用してデータイベント設定を構成する

アドバンストイベントセレクタを使用して、すべてのデータイベントタイプとネットワークアクティビティイベント (プレビュー) を設定できます。アドバンストイベントセレクタを使用すると、対象のイベントのみをログに記録するきめ細かなセレクタを作成できます。

基本的なイベントセレクタを使用してデータイベントを記録する場合、Amazon S3 バケット、 AWS Lambda 関数、および Amazon DynamoDB テーブルのデータイベントのログ記録に制限されます。基本的なイベントセレクタを使用してeventNameフィールドをフィルタリングすることはできません。また、ネットワークアクティビティイベント を記録することはできません。

証跡のデータイベント用の基本的なイベントセレクター

以下の手順で、基本的なイベントセレクターを使用して、データイベント設定を構成します。

基本的なイベントセレクターを使用してデータイベント設定を構成するには
  1. データイベントをログ記録するには、[イベント][データイベント] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail 料金」を参照してください。

  2. Amazon S3 バケットの場合

    1. [Data source] で、[S3] を選択します。

    2. すべての現在および将来の S3 バケットを記録することを選択するか、バケットまたは関数を個々に指定することができます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。

      注記

      デフォルトのすべての現在および将来の S3 バケットオプションを維持することで、現在 AWS アカウント内のすべてのバケットと、証跡の作成が完了した後に作成したバケットのデータイベントログ記録が可能になります。また、 AWS アカウント内の任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も有効にします。これは、そのアクティビティが別の AWS アカウントに属するバケットで実行される場合でも同じです。

      単一のリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、現在および将来のすべての S3 バケットを選択すると、証跡と同じリージョン内のすべてのバケットと、そのリージョンで後で作成するバケットのデータイベントログ記録が有効になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントはログに記録されません。

    3. デフォルトの [All current and future S3 buckets] で、[読み取り] イベント、[書き込み] イベント、またはその両方をログ記録することを選択します。

    4. 個々のバケットを選択するには、[All current and future S3 buckets] の [読み取り] および [書き込み] のチェックボックスをオフにします。[Individual bucket selection] で、データイベントをログ記録するバケットを参照します。目的のバケットのバケットプレフィックスを入力して、特定のバケットを検索します。このウィンドウで、複数のバケットを選択できます。[Add bucket] を選択してより多くのバケットのデータイベントをログ記録します。[読み取り] イベント (例: GetObject) か、[書き込み] イベント (例: PutObject)、または両方を選択します。

      この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [読み取り] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [読み取り] が設定されています。選択を解除することはできません。[書き込み] のオプションしか設定することができません。

      ログ記録からバケットを削除するには、[X] を選択します。

  3. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。

  4. Lambda 関数の場合

    1. [Data source] で、[Lambda] を選択します。

    2. Lambda 関数 で、すべてのリージョンを選択してすべての Lambda 関数をログに記録するか、 を入力関数を選択してARN特定の関数のデータイベントをログに記録します。

      AWS アカウント内のすべての Lambda 関数のデータイベントをログに記録するには、現在および将来のすべての関数をログに記録する を選択します。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。

      注記

      すべてのリージョンで証跡を作成している場合は、この選択によって、 AWS アカウントの現時点のすべての関数や、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。単一のリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、この選択により、 AWS アカウント内のそのリージョンに現在存在するすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

      すべての関数のデータイベントをログに記録すると、別のアカウントに属する関数でそのアクティビティが実行された場合でも、アカウント AWS 内の任意の IAM ID によって実行されるデータイベントアクティビティのログ記録が可能になります AWS 。

    3. として入力関数ARNを選択した場合は、Lambda 関数ARNの を入力します。

      注記

      アカウントに 15,000 を超える Lambda 関数がある場合、証跡の作成時に CloudTrail コンソール内のすべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログに記録する場合は、 がわかっている場合に関数を手動で追加できますARN。コンソールで証跡の作成を終了し、 AWS CLI コマンドと put-event-selectors コマンドを使用して、特定の Lambda 関数のデータイベントログ記録を設定することもできます。詳細については、「を使用した証跡の管理 AWS CLI」を参照してください。

  5. DynamoDB テーブルの場合

    1. [Data event source] で、[DynamoDB] を選択します。

    2. DynamoDB テーブル選択 で、参照を選択してテーブルを選択するか、アクセス可能な DynamoDB テーブルARNの に貼り付けます。DynamoDB テーブルは次の形式ARNを使用します。

      arn:partition:dynamodb:region:account_ID:table/table_name

      別のテーブルを追加するには、行 を追加 を選択し、テーブルを参照するか、アクセスできるテーブルARNの に貼り付けます。

  6. 証跡の Insights イベントとその他の設定を行うには、このトピックで前述した手順、コンソールで証跡を作成する に戻ります。

次のステップ

証跡を作成したら、証跡に戻って次の変更を加えることができます。