AWS CLI で保存済みのクエリ結果を検証する - AWS CloudTrail
前提条件verify-query-results

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CLI で保存済みのクエリ結果を検証する

aws cloudtrail verify-query-results コマンドを使用して、クエリ結果ファイルの整合性を検証してファイルに署名できます。

前提条件

コマンドラインを使用してクエリ結果の整合性を検証するには、次の条件を満たしている必要があります。

  • AWS へのオンライン接続が必要です。

  • AWS CLI バージョン 2 を使用する必要があります。

  • ローカルでクエリ結果ファイルを検証してファイルに署名する場合、次の条件が適用されます。

    • 指定したファイルパスにクエリ結果ファイルと署名ファイルを配置する必要があります。--local-export-path パラメータの値としてファイルパスを指定します。

    • クエリ結果ファイルと署名ファイルの名前は変更しません。

  • S3 バケットでクエリ結果ファイルを検証してファイルに署名する場合、次の条件が適用されます。

    • クエリ結果ファイルと署名ファイルの名前は変更しません。

    • クエリ結果ファイルの署名ファイルを含む Amazon S3 バケットへの読み取りアクセスが必要です。

    • 指定した S3 プレフィックスには、クエリ結果ファイルと署名ファイルが含まれている必要があります。--s3-prefix パラメータの値として S3 プレフィックスを指定します。

verify-query-results

verify-query-results コマンドは、各クエリ結果ファイルのハッシュ値を署名ファイル内の fileHashValue と比較し、署名ファイルの hashSignature を検証することによってクエリ結果ファイルのハッシュ値を検証します。

クエリ結果を検証する場合、--s3-bucket および --s3-prefix のいずれかのコマンドラインオプションを使用して S3 バケットに保存されているクエリ結果ファイルと署名ファイルを検証するか、--local-export-path コマンドラインオプションを使用して、ダウンロードしたクエリ結果ファイルと署名ファイルのローカル検証を実行することができます。

注記

verify-query-results コマンドはリージョン固有です。特定の AWS リージョンのクエリ結果を検証するには、--region グローバルオプションを指定する必要があります。

verify-query-results コマンドのオプションを以下に示します。

--s3-bucket <文字列>

クエリ結果ファイルと署名ファイルを保存する S3 バケット名を指定します。このパラメータは --local-export-path と共に使用できません。

--s3-prefix <文字列>

クエリ結果ファイルと署名ファイルを含む S3 フォルダーの S3 パスを指定します (s3/path/ など)。このパラメータは --local-export-path と共に使用できません。ファイルが S3 バケットのルートディレクトリにある場合は、このパラメータを指定する必要はありません。

--local-export-path <文字列>

クエリ結果ファイルと署名ファイルを含むローカルディレクトリを指定します (/local/path/to/export/file/ など)。このパラメータは --s3-bucket や --s3-prefix と共に使用できません。

次の例では、--s3-bucket および --s3-prefix コマンドラインオプションを使用してクエリ結果を検証し、クエリ結果ファイルと署名ファイルを含む S3 バケット名とプレフィックスを指定します。

aws cloudtrail verify-query-results --s3-bucket bucket_name --s3-prefix prefix --region region

次の例では、--local-export-path コマンドラインオプションを使用して、ダウンロードしたクエリ結果を検証し、クエリ結果ファイルと署名ファイルのローカルパスを指定します。クエリ結果ファイルのダウンロードの詳細については、「CloudTrail Lake の保存済みクエリ結果をダウンロードする」を参照してください。

aws cloudtrail verify-query-results --local-export-path local_file_path --region region

検証結果

次の表は、クエリ結果ファイルと書名ファイルの検証メッセージを示しています。

ファイルタイプ 検証メッセージ 説明
Sign file Successfully validated sign and query result files 書名ファイルの署名は有効です。参照しているクエリ結果ファイルを確認できます。
Query result file

ValidationError: "File file_name has inconsistent hash value with hash value recorded in sign file, hash value in sign file is expected_hash, but get computed_hash

 クエリ結果ファイルのハッシュ値が署名ファイルの fileHashValue と一致しなかったため、検証に失敗しました。
Sign file

ValidationError: Invalid signature in sign file

 署名が無効なため、署名ファイルの検証に失敗しました。