CloudTrail 署名ファイル構造

署名ファイルには、クエリ結果を保存したときに Amazon S3 バケットに送られた各クエリ結果ファイルの名前、各クエリ結果ファイルのハッシュ値、ファイルのデジタル署名が含まれます。デジタル署名とハッシュ値は、クエリ結果ファイルおよび署名ファイル自体の整合性を検証するために使用されます。

署名ファイルの場所

署名ファイルは、次の構文で表される Amazon S3 バケットの場所に送られます。


s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-ID/CloudTrail-Lake/Query/year/month/date/query-ID/result_sign.json

署名ファイルのコンテンツの例

次に示すのは、CloudTrail Lake クエリ結果の情報が含まれる署名ファイルの例です。


{
  "version": "1.0",
  "region": "us-east-1",
  "files": [
    {
      "fileHashValue" : "de85a48b8a363033c891abd723181243620a3af3b6505f0a44db77e147e9c188",
      "fileName" : "result_1.csv.gz"
    }
  ],
  "hashAlgorithm" : "SHA-256",
  "signatureAlgorithm" : "SHA256withRSA",
  "queryCompleteTime": "2022-05-10T22:06:30Z",
  "hashSignature" : "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",
  "publicKeyFingerprint" : "67b9fa73676d86966b449dd677850753"
}

署名ファイルのフィールドの説明

以下では、署名ファイルの各フィールドについて説明します。

version: 署名ファイルのバージョン。

region: 保存されたクエリ結果に使用される AWS アカウントのリージョン。

files.fileHashValue: 圧縮されたクエリ結果ファイルの内容の 16 進エンコードされたハッシュ値です。

files.fileName: クエリ結果ファイルの名前。

hashAlgorithm: クエリ結果ファイルのハッシュ計算に使用されたハッシュアルゴリズムです。

signatureAlgorithm: ファイルの署名に使用されるアルゴリズムです。

queryCompleteTime: CloudTrail がいつクエリ結果を S3 バケットに配信したかを示します。この値を使用してパブリックキーを検索できます。

hashSignature: ファイルのハッシュ署名。

publicKeyFingerprint: このファイルの署名に使用されたパブリックキーの 16 進エンコードされたフィンガープリントです。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS CLI でクエリ結果を検証する

CloudTrail のクエリ結果検証のカスタム実装