update-trail の使用 - AWS CloudTrail
1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用マルチリージョンの証跡から単一リージョンの証跡への変換グローバルサービスイベントのログ記録の有効化と無効化ログファイルの検証の有効化ログファイルの検証の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

update-trail の使用

重要

2021 年 11 月 22 日より、 AWS CloudTrail トレイルがグローバルサービスイベントをキャプチャする方法が変更されました。現在、Amazon AWS STS が作成したイベントは CloudFront AWS Identity and Access Management、イベントが作成されたリージョン、つまり米国東部 (バージニア北部) リージョン (us-east-1) で記録されます。これにより、 CloudTrail これらのサービスの扱い方が他のグローバルサービスの処理方法と一致するようになっています。 AWS 米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

これとは対照的に、 CloudTrail aws cloudtrail lookup-eventsコンソールとコマンドのイベント履歴には、 AWS リージョン これらのイベントが発生した場所が表示されます。

update-trail コマンドを使用して、証跡の設定を変更できます。add-tagsremove-tags コマンドを使用して、証跡のタグを追加および削除することもできます。トレイルを更新できるのは、 AWS トレイルが作成されたリージョン (ホームリージョン) のみです。を使用する場合 AWS CLI、 AWS コマンドはプロファイルに設定されたリージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

Amazon Security Lake CloudTrail で管理イベントを有効にしている場合は、マルチリージョンの組織証跡を少なくとも 1 つ維持し、readwrite管理イベントの両方を記録する必要があります。資格を満たしている証跡を、Security Lake の要件に従わない方法で更新することはできません。例えば、証跡を単一リージョンに変更したり、read または write 管理イベントのログ記録をオフにしたりするなどです。

注記

SDK AWS CLI またはいずれかの AWS SDK を使用して証跡を変更する場合は、証跡のバケットポリシーがであることを確認してください。 up-to-dateバケットが新しいユーザーからのイベントを自動的に受信できるようにするには AWS リージョン、ポリシーに完全なサービス名が含まれている必要があります。cloudtrail.amazonaws.com詳細については、「の Amazon S3 バケットポリシー CloudTrail」を参照してください。

1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用

既存の証跡を変更し、すべてのリージョンに適用されるようにするには、--is-multi-region-trail オプションを使用します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}

マルチリージョンの証跡から単一リージョンの証跡への変換

作成元のリージョンにのみ適用されるように既存のマルチリージョンの証跡を変更するには、--no-is-multi-region-trail オプションを使用します。

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

証跡が単一リージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に false と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}

グローバルサービスイベントのログ記録の有効化と無効化

証跡を変更し、グローバルサービスイベントをログに記録しないようにするには、--no-include-global-service-events オプションを使用します。

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

証跡がグローバルサービスイベントをログに記録しなくなったことを確認するために、出力の IncludeGlobalServiceEvents 要素に false と表示されます。

{
    "IncludeGlobalServiceEvents": false, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}

証跡を変更し、グローバルサービスイベントをログに記録するには、--include-global-service-events オプションを使用します。

米国東部 (バージニア北部) リージョン us-east-1 では、すでに表示されていない限り、2021 年 11 月 22 日以降、単一リージョン証跡はグローバルサービスイベントを受け取れなくなります。グローバルサービスイベントのキャプチャを続行するには、証跡の設定をマルチリージョン証跡に更新します。例えば、このコマンドは、米国東部 (オハイオ) us-east-2 の単一リージョン証跡をマルチリージョン証跡に更新します。myExistingSingleRegionTrailWithGSE はご使用の構成に適したトレイル名に置き換えてください。

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

2021 年 11 月 22 日以降、グローバルサービスイベントを利用できるのは米国東部 (バージニア北部) のみとなるため、米国東部 (バージニア北部) リージョン us-east-1 では、単一リージョン証跡を作成して、グローバルサービスイベントをサブスクライブすることも可能です。次のコマンドは、us-east-1 に単一リージョントレイルを作成し、IAM CloudFront、およびイベントを受信します。 AWS STS 

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name DOC-EXAMPLE-BUCKET

ログファイルの検証の有効化

証跡のログファイルの検証を有効にするには、--enable-log-file-validation オプションを使用します。ダイジェストファイルは、その証跡の Amazon S3 バケットに配信されます。

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

ログファイルの検証が有効になっていることを確認するために、出力の LogFileValidationEnabled 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}

ログファイルの検証の無効化

証跡のログファイルの検証を無効にするには、--no-enable-log-file-validation オプションを使用します。

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

ログファイルの検証が無効になっていることを確認するために、出力の LogFileValidationEnabled 要素に false と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}

を使用してログファイルを検証する方法については、を参照してください。 AWS CLIAWS CLI でのCloudTrail ログファイルの整合性の検証