update-trail の使用 - AWS CloudTrail

update-trail の使用

重要

2021 年 11 月 22 日、AWS CloudTrail は、証跡を使用してグローバルサービスイベントをキャプチャする方法を変更します。この変更後、Amazon CloudFront によって作成されたイベント、AWS Identity and Access Management、および AWS STS は、それらが作成されたリージョン、米国東部 (バージニア北部) リージョン (us-east-1) に記録されます。これにより、CloudTrail によるこれらのサービスの扱いは他の AWS グローバルサービスの処理と一致します。

米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。また、lookup-events API コールのリージョンも更新してください。CLI コマンドの例など、ルックアップイベントの更新の詳細については、このユーザーガイドで前述した 属性でイベントを参照する を参照してください。

update-trail コマンドを使用して、証跡の設定を変更できます。add-tagsremove-tags コマンドを使用して、証跡のタグを追加および削除することもできます。更新できるのは、証跡が作成された AWS リージョン (そのホームリージョン) からの証跡のみです。AWS CLI を使用するときは、コマンドは自分のプロファイル用に設定された AWS リージョンで実行されることを忘れないようにしてください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

注記

AWS CLI またはいずれかの AWS SDK を使用して証跡を変更する場合は、証跡のバケットポリシーが最新の状態に保たれていることを確認します。バケットが新しい AWS リージョンからイベントを自動的に受信するには、ポリシーに完全なサービス名 cloudtrail.amazonaws.com が含まれている必要があります。詳しくは、CloudTrail の Amazon S3 バケットポリシー を参照してください。

1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用

既存の証跡を変更し、すべてのリージョンに適用されるようにするには、--is-multi-region-trail オプションを使用します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

マルチリージョンの証跡から単一リージョンの証跡への変換

作成元のリージョンにのみ適用されるように既存のマルチリージョンの証跡を変更するには、--no-is-multi-region-trail オプションを使用します。

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

証跡が単一リージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に false と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

グローバルサービスイベントのログ記録の有効化と無効化

証跡を変更し、グローバルサービスイベントをログに記録しないようにするには、--no-include-global-service-events オプションを使用します。

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

証跡がグローバルサービスイベントをログに記録しなくなったことを確認するために、出力の IncludeGlobalServiceEvents 要素に false と表示されます。

{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

証跡を変更し、グローバルサービスイベントをログに記録するには、--include-global-service-events オプションを使用します。

シングルリージョン証跡は、2021 年 11 月 22 日以降、米国東部 (バージニア北部) リージョン us-east-1 にすでに表示されていない限り、グローバルサービスイベントを受け取りません。グローバルサービスイベントのキャプチャを続行するには、証跡の設定をマルチリージョン証跡に更新します。例えば、このコマンドは、米国東部 (オハイオ) us-east-2 のシングルリージョン証跡をマルチリージョン証跡に更新します。myExistingSingleRegionTrailWithGSE を、設定に適した証跡名に置き換えます。

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

グローバルサービスイベントは、2021 年 11 月 22 日から米国東部 (バージニア北部) でのみ利用できるため、シングルリージョン証跡を作成して、米国東部 (バージニア北部) リージョン us-east-1 のグローバルサービスイベントに登録することもできます。次のコマンドは、CloudFront、IAM、および AWS STS イベントを受信するために、us-east-1 にシングルリージョン証跡を作成します。

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name DOC-EXAMPLE-BUCKET

ログファイルの検証の有効化

証跡のログファイルの検証を有効にするには、--enable-log-file-validation オプションを使用します。ダイジェストファイルは、その証跡の Amazon S3 バケットに配信されます。

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

ログファイルの検証が有効になっていることを確認するために、出力の LogFileValidationEnabled 要素に true と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

ログファイルの検証の無効化

証跡のログファイルの検証を無効にするには、--no-enable-log-file-validation オプションを使用します。

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

ログファイルの検証が無効になっていることを確認するために、出力の LogFileValidationEnabled 要素に false と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

AWS CLI を使用してログファイルを検証するには、「AWS CLI でのCloudTrail ログファイルの整合性の検証」を参照してください。