update-trail コマンドを使用して証跡を更新する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

update-trail コマンドを使用して証跡を更新する

重要

2021 年 11 月 22 日、 は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。これで、Amazon CloudFront、、および によって作成されたイベント AWS STS は AWS Identity and Access Management、作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、 はこれらのサービスを他の AWS グローバルサービスのサービスと一貫して CloudTrail 処理します。米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

対照的に、 CloudTrail コンソールのイベント履歴aws cloudtrail lookup-events コマンドは、これらのイベントが発生した AWS リージョン にイベントを表示します。

update-trail コマンドを使用して、証跡の設定を変更できます。add-tagsremove-tags コマンドを使用して、証跡のタグを追加および削除することもできます。更新できるのは、証跡が作成された AWS リージョン (ホームリージョン) からのみです。を使用する場合 AWS CLI、コマンドはプロファイル用に設定された AWS リージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

Amazon Security Lake で CloudTrail 管理イベントを有効にしている場合は、マルチリージョンで と の両方readwriteの管理イベントを記録する組織証跡を少なくとも 1 つ維持する必要があります。資格を満たしている証跡を、Security Lake の要件に従わない方法で更新することはできません。例えば、証跡を単一リージョンに変更したり、read または write 管理イベントのログ記録をオフにしたりするなどです。

注記

AWS CLI またはいずれかの AWS SDKs を使用して証跡を変更する場合は、証跡のバケットポリシーが であることを確認してください up-to-date。バケットが新しい からイベントを自動的に受信するには AWS リージョン、ポリシーに完全なサービス名 が含まれている必要がありますcloudtrail.amazonaws.com。詳細については、「の Amazon S3 バケットポリシー CloudTrail」を参照してください。

1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用

既存の証跡を変更し、すべてのリージョンに適用されるようにするには、--is-multi-region-trail オプションを使用します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }

マルチリージョンの証跡から単一リージョンの証跡への変換

作成元のリージョンにのみ適用されるように既存のマルチリージョンの証跡を変更するには、--no-is-multi-region-trail オプションを使用します。

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

証跡が単一リージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に false と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }

グローバルサービスイベントのログ記録の有効化と無効化

証跡を変更し、グローバルサービスイベントをログに記録しないようにするには、--no-include-global-service-events オプションを使用します。

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

証跡がグローバルサービスイベントをログに記録しなくなったことを確認するために、出力の IncludeGlobalServiceEvents 要素に false と表示されます。

{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }

証跡を変更し、グローバルサービスイベントをログに記録するには、--include-global-service-events オプションを使用します。

米国東部 (バージニア北部) リージョン us-east-1 では、すでに表示されていない限り、2021 年 11 月 22 日以降、単一リージョン証跡はグローバルサービスイベントを受け取れなくなります。グローバルサービスイベントのキャプチャを続行するには、証跡の設定をマルチリージョン証跡に更新します。例えば、このコマンドは、米国東部 (オハイオ) us-east-2 の単一リージョン証跡をマルチリージョン証跡に更新します。myExistingSingleRegionTrailWithGSE を、設定に適した証跡名に置き換えます。

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

2021 年 11 月 22 日以降、グローバルサービスイベントを利用できるのは米国東部 (バージニア北部) のみとなるため、米国東部 (バージニア北部) リージョン us-east-1 では、単一リージョン証跡を作成して、グローバルサービスイベントをサブスクライブすることも可能です。次のコマンドは、us-east-1 に単一リージョンの証跡を作成して CloudFront、、IAM、および AWS STS イベントを受信します。

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name DOC-EXAMPLE-BUCKET

ログファイルの検証の有効化

証跡のログファイルの検証を有効にするには、--enable-log-file-validation オプションを使用します。ダイジェストファイルは、その証跡の Amazon S3 バケットに配信されます。

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

ログファイルの検証が有効になっていることを確認するために、出力の LogFileValidationEnabled 要素に true と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }

ログファイルの検証の無効化

証跡のログファイルの検証を無効にするには、--no-enable-log-file-validation オプションを使用します。

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

ログファイルの検証が無効になっていることを確認するために、出力の LogFileValidationEnabled 要素に false と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }

でログファイルを検証するには、 AWS CLI「」を参照してくださいを使用した CloudTrail ログファイルの整合性の検証 AWS CLI