CloudTrail ログファイルの整合性の検証 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail ログファイルの整合性の検証

CloudTrail が配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断するには、CloudTrail ログファイルの整合性の検証を使用することができます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256、デジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。「」を使用できます。AWS CLICloudTrail が配信した場所のファイルを検証します。

使用する理由

検証されたログファイルは、セキュリティおよびフォレンシック調査で非常に重要です。たとえば、検証されたログファイルを使用すると、ログファイル自体が変更されていないこと、または特定のユーザーの認証情報が特定の API アクティビティを実行したことを確実にアサートできます。CloudTrail のログファイルの整合性の検証プロセスでは、ログファイルが削除または変更されたかどうかを知ることもできます。また、指定された期間内にログファイルがアカウントに配信されていないことを確実にアサートします。

仕組み

ログファイルの整合性の検証を有効にすると、CloudTrail は、配信するすべてのログファイルに対してハッシュを作成します。また、CloudTrail は、1 時間ごとに、過去 1 時間のログファイルを参照し、それぞれのハッシュを含むファイルを作成して配信します。このファイルはダイジェストファイルと呼ばれます。CloudTrail は、パブリックキーとプライベートキーkey pair プライベートキーを使用して、各ダイジェストファイルに署名します。配信後、パブリックキーを使用してダイジェストファイルを検証できます。CloudTrail は、各キーペアを使用します。AWSリージョン。

ダイジェストファイルは、CloudTrail ログファイルと同じ証跡に関連付けられた Amazon S3 バケットに配信されます。ログファイルがすべてのリージョンまたは複数のアカウントから単一の Amazon S3 バケットに配信された場合、CloudTrail は、ダイジェストファイルをそれらのリージョンとアカウントから同じバケットに配信します。

ダイジェストファイルは、ログファイルとは別のフォルダに格納されます。このようにダイジェストファイルとログファイルを分離することで、細かいセキュリティポリシーを適用することができ、既存のログ処理ソリューションを変更せずに引き続き運用することができます。各ダイジェストファイルには、存在する場合、前のダイジェストファイルのデジタル署名も含まれます。現在のダイジェストファイルの署名は、ダイジェストファイル Amazon S3 オブジェクトのメタデータプロパティにあります。ダイジェストファイルの内容の詳細については、「CloudTrail ダイジェストファイルの構造」を参照してください。

ログおよびダイジェストファイルの保存

CloudTrail のログファイルとダイジェストファイルは、Amazon S3 または S3 Glacier に、無期限に安全、永続的、安価に保存できます。Amazon S3 に保存されているダイジェストファイルのセキュリティを強化するために、Amazon S3 MFA 削除

検証の有効化とファイルの検証

ログファイルの整合性検証を有効にするには、AWS Management Consoleとすると、AWS CLI、または CloudTrail API を使用します。詳細については、「CloudTrail のログファイルの整合性検証を有効にする」を参照してください。

CloudTrail ログファイルの整合性を検証するには、AWS CLI独自のソリューションを作成するには。-AWS CLICloudTrail が配信した場所のファイルを検証します。Amazon S3 または他の場所のいずれかで、別の場所に移動したログを検証する場合、独自の検証ツールを作成することができます。

AWS CLI を使用したログの検証についての詳細は、「による CloudTrail ログファイルの整合性の検証AWS CLI」を参照してください。CloudTrail ログファイル検証のカスタム実装の開発についての詳細は、「」を参照してください。CloudTrail ログファイルの整合性検証のカスタム実装