CloudTrail 署名ファイル構造 - AWS CloudTrail

CloudTrail 署名ファイル構造

署名ファイルには、クエリ結果を保存したときに Amazon S3 バケットに送られた各クエリ結果ファイルの名前、各クエリ結果ファイルのハッシュ値、ファイルのデジタル署名が含まれます。デジタル署名とハッシュ値は、クエリ結果ファイルおよび署名ファイル自体の整合性を検証するために使用されます。

署名ファイルの場所

署名ファイルは、次の構文で表される Amazon S3 バケットの場所に送られます。

s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-ID/CloudTrail-Lake/Query/year/month/date/query-ID/result_sign.json

署名ファイルのコンテンツの例

次に示すのは、CloudTrail Lake クエリ結果の情報が含まれる署名ファイルの例です。

{ "version": "1.0", "region": "us-east-1", "files": [ { "fileHashValue" : "de85a48b8a363033c891abd723181243620a3af3b6505f0a44db77e147e9c188", "fileName" : "result_1.csv.gz" } ], "hashAlgorithm" : "SHA-256", "signatureAlgorithm" : "SHA256withRSA", "queryCompleteTime": "2022-05-10T22:06:30Z", "hashSignature" : "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", "publicKeyFingerprint" : "67b9fa73676d86966b449dd677850753" }

署名ファイルのフィールドの説明

以下では、署名ファイルの各フィールドについて説明します。

version

署名ファイルのバージョン。

region

保存されたクエリ結果に使用される AWS アカウントのリージョン。

files.fileHashValue

圧縮されたクエリ結果ファイルの内容の 16 進エンコードされたハッシュ値です。

files.fileName

クエリ結果ファイルの名前。

hashAlgorithm

クエリ結果ファイルのハッシュ計算に使用されたハッシュアルゴリズムです。

signatureAlgorithm

ファイルの署名に使用されるアルゴリズムです。

queryCompleteTime

CloudTrail がいつクエリ結果を S3 バケットに配信したかを示します。この値を使用してパブリックキーを検索できます。

hashSignature

ファイルのハッシュ署名。

publicKeyFingerprint

このファイルの署名に使用されたパブリックキーの 16 進エンコードされたフィンガープリントです。