AWS CloudTrail
ユーザーガイド (Version 1.0)

お使いの AWS アカウントにおける証跡の作成

証跡を作成するときは、指定した Amazon S3 バケットへのログファイルとしてのイベントの継続的な配信を有効にします。証跡の作成には、次のような多くの利点があります。

  • 過去 90 日間に及ぶイベントの記録。

  • ログイベントを Amazon CloudWatch Logs に送信することによって、指定されたイベントを自動的にモニタリングして警告するオプション。

  • ログを照会し、Amazon Athena を使用して AWS サービスアクティビティを分析するオプション。

2019 年 4 月 12 日以降、証跡は、イベントをログに記録する AWS リージョンでのみ表示することができます。すべての AWS リージョンのイベントをログに記録する証跡を作成すると、すべての AWS リージョンのコンソールに表示されます。単一の AWS リージョン内のイベントのみをログ記録する証跡を作成した場合は、その AWS リージョン内でのみ、それを表示および管理できます。

AWS Organizations を使用する場合は、その組織内のすべての AWS アカウントのすべてのイベントを記録する証跡を作成できます。同じ名前の証跡が各メンバーアカウントに作成され、各証跡からのイベントは指定した Amazon S3 バケットに配信されます。

注記

組織の証跡を作成できるのは、その組織のマスターアカウントだけです。組織の証跡を作成すると、CloudTrail と 組織 の統合が自動的に有効になります。詳細については、「組織の証跡の作成」を参照してください。

CloudTrail コンソールまたは AWS Command Line Interface (AWS CLI) を使用して証跡を作成または更新する場合に、次の設定を構成できます。どちらの方法でも同じ手順に従います。

  1. 証跡の作成.デフォルトでは、CloudTrail コンソールでリージョンの証跡を作成する場合、証跡がすべてのリージョンに適用されます。

  2. Amazon S3 バケットを作成するか、ログファイルを配信する既存のバケットを指定します。デフォルトでは、アカウント内のすべてのリージョンからのログファイルは、指定したバケットに配信されます。

  3. 読み取り専用、書き込み専用、またはすべての管理イベントと、すべてまたは一部のデータイベントを記録するように証跡を設定します。デフォルトでは、証跡はすべての管理イベントをログに記録し、データイベントは記録しません。

  4. ログファイルが配信されたときに通知を受け取る Amazon SNS トピックを作成します。すべてのリージョンからの配信通知が、指定したトピックに送信されます。

  5. CloudTrail からログを受信するように CloudWatch Logs を設定することにより、特定のログイベントをモニタリングすることができます。

  6. ログファイルの暗号化方法を、Amazon S3 で管理された暗号化キー (SSE-S3) を使用したサーバー側の暗号化から、AWS KMS で管理されたキー (SSE-KMS) を使用したサーバー側の暗号化に変更します。

  7. ログファイルの整合性の検証を有効にします。これにより、CloudTrail がログファイルを配信した後のログファイルの整合性を検証できるダイジェストファイルの配信が可能になります。

  8. 証跡にタグ (カスタムのキーと値のペア) を追加します。