チュートリアルの開始方法AWS CloudTrail

AWS CloudTrail を初めて使用するお客様向けに、このチュートリアルでは、その機能の使用方法について説明します。このチュートリアルでは、CloudTrail コンソールで、最新の AWS アカウントのアクティビティを確認し、イベントについて調べます。次に証跡を作成します。これは、Amazon S3 バケットに保存されている管理イベントアクティビティの継続的な記録です。[イベント履歴] とは異なり、この継続的な記録は 90 日間に限定されるわけではありませんが、すべての AWS リージョンでイベントを記録します。また、時間の経過に伴うセキュリティおよび監査のニーズを満たすのに役立ちます。

Prerequisites

開始する前に、以下の前提条件と設定を完了する必要があります。

• まだ持っていない場合は、AWSアカウントを作成してください。

  AWS アカウントをお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。

  AWS にサインアップするには

  1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。

  2. オンラインの手順に従います。

• CloudTrail を管理するための IAM ユーザーを作成します。詳細については、「CloudTrail 管理のためのアクセス許可の付与 」を参照してください。

ステップ 1: イベント履歴で AWS アカウントのアクティビティを確認する

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。をサポートする AWS サービスでアクティビティが発生すると、そのアクティビティは [CloudTrailEvent history (イベント履歴)CloudTrail] の AWS の他のサービスのイベントとともに イベントに記録されます。つまり、証跡を作成する前に AWS アカウントの最近のイベントを表示、検索、ダウンロードできますが、証跡を作成することは長期的な記録と AWS アカウントアクティビティの監査にとって重要です。証跡とは異なり、[イベント履歴] には、過去 90 日間に発生したイベントのみが表示されます。

1. CloudTrail 管理用に設定した IAM ユーザーを使用して AWS マネジメントコンソール にサインインします。cloudtrail/home/CloudTrail にある コンソールを開きます。https://console.aws.amazon.com/

2. AWS アカウントで発生した最新のイベントに関するダッシュボードの情報を確認します。最近のイベントは ConsoleLogin イベントである必要があり、AWS マネジメントコンソール にサインインしたことを示しています。

   

3. イベントの詳細を表示するには、これを展開します。

   

4. ナビゲーションペインで [Event history (イベント履歴)] を選択します。最新のイベントが最初に表示された、フィルタリングされたイベントのリストが表示されます。イベントのデフォルトのフィルターは読み取り専用で、[false] に設定されています。フィルターをクリアするには、フィルターの右側にある [X] を選択します。

   

5. デフォルトのフィルターなしでさらに多くのイベントが表示されます。多くの方法でイベントをフィルタリングすることができます。たとえば、すべてのコンソールログインイベントを表示するには、[イベント名] フィルタを選択し、[ConsoleLogin] を指定します。 フィルターはユーザーが選択できます。

   

6. イベント履歴を保存するには、CSV または JSON 形式のファイルとしてダウンロードします。イベント履歴のダウンロードには数分かかる場合があります。

   

詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

ステップ 2: 最初の証跡を作成する

コンソールの [イベント履歴] で示されるイベントは最近のアクティビティを確認するのに役立ちますが、それらは最近のアクティビティに限定されており、CloudTrail によって記録される可能性のあるすべてのイベントは含まれていません。CloudTrailさらに、コンソールのイベントの表示は、サインインしている AWS リージョンに限定されています。AWSアカウントにすべての AWS リージョンの情報をキャプチャする継続的なアクティビティ記録を作成するには、証跡を作成します。デフォルトでは、CloudTrail コンソールで証跡を作成すると、証跡はすべてのリージョンでイベントを記録します。アカウントのすべてのリージョンでイベントをログに記録することが推奨されるベストプラクティスです。

最初の証跡では、すべての リージョンのすべての管理イベントAWSを記録し、データイベントを記録しない証跡を作成することをお勧めします。管理イベントの例には、IAM CreateUser や AttachRolePolicy イベントなどのセキュリティイベント、RunInstances や CreateBucket などのリソースイベントが含まれています。CloudTrail コンソールで証跡を作成する一部として、証跡のログファイルを保存する Amazon S3 バケットを作成します。

注記

このチュートリアルでは、最初の証跡を作成することを前提としています。アカウントにある証跡の数、およびそれらの証跡の設定方法に応じて、次の手順で費用が発生する場合と発生しない場合があります。AWS はログファイルを CloudTrail バケットに保存します。これに伴うコストが発生します。Amazon S3料金の詳細については、「AWS CloudTrail 料金表」と「Amazon S3 料金表」を参照してください。

1. CloudTrail 管理用に設定した IAM ユーザーを使用して AWS マネジメントコンソール にサインインします。cloudtrail/home/CloudTrail にある コンソールを開きます。https://console.aws.amazon.com/[Region (リージョン)] セレクタで、証跡を作成する AWS リージョンを選択します。これは、証跡のホームリージョン リージョンです。

   注記

   証跡がすべての AWS リージョンのイベントを記録している場合でも、ホームリージョンは、作成後に証跡を表示および更新できる唯一の AWS リージョンです。

2. サービスのホームページ、CloudTrail証跡 ページ、または [ダッシュボード] ページの [証跡] セクションで、[証跡の作成] を選択します。

3. [Trail name] で、証跡に名前 ( など) を付けます。My-Management-Events-Trail。 ベストプラクティスとして、証跡の目的をすぐに識別できる名前を使用します。この場合、管理イベントをログに記録する証跡を作成しています。

4. 組織の証跡については、デフォルト設定のままにしておきます。AWS Organizationsで設定したアカウントがない場合、このオプションを変更することはできません。Organizations

5. [Storage location] で、[Create new S3 bucket] を選択してバケットを作成します。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。バケットに などの名前を付けます。my-bucket-for-storing-cloudtrail-logs.

   ログを見つけやすくするために、 ログを保存するために既存のバケットに新しいフォルダ (プレフィックスCloudTrailとも呼ばれます) を作成します。[プレフィックス] にプレフィックスを入力します。

   注記

   Amazon S3 バケットの名前はグローバルで一意であることが必要です。詳細については、「Amazon S3 バケットの命名要件」を参照してください。

   

6. [ログファイル SSE-KMS 暗号化] を無効にするには、このチェックボックスをオフにします。デフォルトでは の SSE-S3 暗号化を使用して、ログファイルが暗号化されます。この設定の詳細については、「 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護Amazon S3」を参照してください。

7. [詳細設定] はデフォルト設定のままにします。

8. ここでは、Amazon CloudWatch Logs にログを送信しないでください。

9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、CloudTrail ログファイルを含む Amazon S3 バケットなど、CloudTrail 証跡やその他のリソースを識別するのに役立ちます。たとえば、Compliance という名前と Auditing という値のタグをアタッチできます。

   注記

   コンソールで証跡を作成するときにタグを追加でき、CloudTrail バケットを作成して Amazon S3 コンソールにログファイルを保存できますが、CloudTrail コンソールから Amazon S3 バケットにタグを追加することはできません。CloudTrailバケットへのタグの追加など、Amazon S3 バケットのプロパティの表示と変更の詳細については、Amazon S3 コンソールユーザーガイドを参照してください。

   

   タグの作成を完了したら、[次へ] を選択します。

10. [Choose log events] ページで、ログを記録するイベントタイプを選択します。この証跡については、デフォルトの [Management events] をそのままにしておきます。[Management events (管理イベント)] 領域で、[Read (読み取り)] イベントと [Write (書き込み)] イベントの両方がまだ選択されていない場合は記録します。[ イベントの除外AWS KMS] のチェックボックスを空のままにして、すべての (AWS Key Management Service) イベントを記録します。AWS KMS

    

11. [Data events (データイベント)] と [インサイト] はデフォルト設定のままにします。この証跡では、データや CloudTrail インサイトイベントは記録されません。[次へ] を選択します。

12. [Review and create (確認と作成)] ページで、証跡に対して選択した設定を確認します。戻って変更するには、セクションの [編集] を選択します。証跡を作成する準備ができたら、[Create trail (証跡の作成)] を選択します。

13. [Trails (証跡)] ページには、テーブルの新しい証跡が表示されます。証跡はデフォルトで [マルチリージョンの証跡] に設定され、証跡のログ記録はデフォルトで有効になっています。

    

ステップ 3: ログファイルの表示

最初の証跡を作成してから 15 分以内に、CloudTrail は最初のログファイルのセットを証跡の Amazon S3 バケットに配信します。これらのファイルを確認して、含まれる情報についての情報取得などを行えます。

1. ナビゲーションペインで、[Trails (証跡)] を選択します。[Trails] ページで、先ほど作成した証跡の名前を見つけます (この例では、My-Management-Events-Trail).

   注記

   管理用に設定した IAM ユーザーを使用してサインインしていることを再度確認してください。CloudTrailそれ以外の場合は、CloudTrail コンソールまたはその証跡のログファイルを含む Amazon S3 バケットに証跡を表示するための十分なアクセス許可がない可能性があります。

2. 証跡の行で、S3 バケットの値を選択します (この例では、aws-cloudtrail-logs-08132020-mytrail).

3. Amazon S3 コンソールが開き、ログファイルの最上位レベルにそのバケットが表示されます。すべての AWS リージョンでイベントをログに記録する証跡を作成したため、各リージョンのフォルダを表示するレベルでディスプレイが開きます。このレベルでの Amazon S3 バケットナビゲーションの階層は、 です。bucket-name/AWSLogs/AWS-account-id/CloudTrail 。 ログファイルを確認する AWS リージョンのフォルダを選択します。たとえば、米国東部 (オハイオ) リージョンのログファイルを確認する場合は、[us-east-2] を選択します。

   

4. バケットフォルダ構造を、そのリージョンのアクティビティのログを確認する年、月、日に移動します その日には、多数のファイルがあります。ファイルの名前は、AWS アカウント ID で始まり、拡張子 .gz で終わります。 たとえば、 アカウント ID が 123456789012] で、次のような名前のファイルが表示されます。123456789012_CloudTrail_us-east-2_20190610T1255abcdeEXAMPLE.json.gz。

   これらのファイルを表示するには、ダウンロードして、解凍し、プレーンテキストエディタか JSON ビューアーで表示します。ブラウザによっては、.gz および JSON ファイルを直接表示することもできます。CloudTrail ログファイルの情報の解析が容易になるため、JSON ビューアーを使用することをお勧めします。

   ファイルの内容を参照しようとして、表示されている内容について判断に迷う場合があります。CloudTrail は、そのイベントが発生した時点でその AWS リージョンでアクティビティを経験したすべての AWS サービスのイベントを記録します。つまり、さまざまな AWS サービスのイベントは、時間のみに基づいて混合されています。特定の AWS サービスが CloudTrail で記録するものの詳細 (そのサービスの API コールのログファイルエントリの例など) については、「 でサポートされているサービスのリストCloudTrail」とそのサービスの 統合のトピックを参照してください。CloudTrailまた、CloudTrail ログファイルの内容と構成の詳細については、「CloudTrail ログイベントのリファレンス」を参照してください。

   また 米国東部 (オハイオ) のログファイルに表示されていないものにも気付くでしょう。具体的には、コンソールにログインしたことがわかっていても、コンソールのサインインイベントは表示されません。これは、コンソールサインインと IAM イベントがグローバルサービスイベントであり、通常は特定の AWS リージョンに記録されているためです。この場合、それらは 米国東部（バージニア北部） にログインし、us-east-1 フォルダにあります。そのフォルダを開き、関心のある年、月、日を開きます。ログファイルを閲覧して、次のような ConsoleLogin イベントを見つけます。

   {
       "eventVersion": "1.05",
       "userIdentity": {
           "type": "IAMUser",
           "principalId": "AKIAIOSFODNN7EXAMPLE",
           "arn": "arn:aws:iam::123456789012:user/Mary_Major",
           "accountId": "123456789012",
           "userName": "Mary_Major"
       },
       "eventTime": "2019-06-10T17:14:09Z",
       "eventSource": "signin.amazonaws.com",
       "eventName": "ConsoleLogin",
       "awsRegion": "us-east-1",
       "sourceIPAddress": "203.0.113.67",
       "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0",
       "requestParameters": null,
       "responseElements": {
           "ConsoleLogin": "Success"
       },
       "additionalEventData": {
           "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true",
           "MobileVersion": "No",
           "MFAUsed": "No"
       },
       "eventID": "2681fc29-EXAMPLE",
       "eventType": "AwsConsoleSignIn",
       "recipientAccountId": "123456789012"
   }

   このログファイルのエントリは、ログインした IAM ユーザーの ID (Mary_Major) だけではなく、ログインした日時、およびログインが成功したことを示します。彼女がログインした IP アドレス、使用したコンピュータのオペレーティングシステムとブラウザソフトウェア、および彼女が多要素認証を使用していなかったことも確認できます。

ステップ 4: 次のステップの計画

証跡を使用して AWS アカウントのイベントとアクティビティの継続的な記録にアクセスできます。この継続的な記録は AWS アカウントのための会計と監査のニーズを満たすのに役立ちます。ただし、CloudTrail と CloudTrail データを使用してできることはもっとたくさんあります。

• 証跡データに追加のセキュリティを追加します。証跡を作成すると、CloudTrail は自動的に特定のレベルのセキュリティを適用します。ただし、データ安全性を確保するために実行できる追加のステップがあります。

  • デフォルトでは、証跡の作成の一部として作成した Amazon S3 バケットには、CloudTrail がそのバケットにログファイルを書き込むことを許可するポリシーが適用されています。バケットはパブリックアクセス可能ではありませんが、自分の AWS アカウントのバケットを読み書きするアクセス許可がある場合は、AWS アカウントの他のユーザーがアクセスできる可能性があります。バケットのポリシーを確認し、必要に応じて変更を加え、特定の IAM ユーザーセットへのアクセスを制限します。詳細については、「Amazon S3 セキュリティのドキュメント」と「バケットを保護するためのチュートリアルの例」を参照してください。

  • CloudTrail によってバケットに配信されるログファイルは、Amazon Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するには、代わりに AWS KMS で管理されたキーによるサーバー側の暗号化 (SSE-KMS) を使用したCloudTrailログファイルの暗号化が使用できます。CloudTrail で SSE-KMS を使用するには、カスタマーマスターキー (CMK) とも呼ばれる KMS キーを作成して管理します。詳細については、「AWS KMS で管理されたキー (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。

  • 追加のセキュリティ計画については、 のセキュリティのベストプラクティスCloudTrailを確認します。

• データイベントをログに記録する証跡を作成します。 オブジェクトが 1 つ以上の Amazon S3 バケットで追加、取得、削除されたとき、または 1 つ以上の AWS Lambda 関数が呼び出されたときのロギングに興味がある場合は、これらはデータイベントです。このチュートリアルの前半で作成した管理イベント証跡では、これらのタイプのイベントを記録しません。サポートされている Amazon S3 および Lambda リソースの一部またはすべてに対してデータイベントをログに記録するために、個別の証跡を作成できます。詳細については、「データイベント」を参照してください。

  注記

  データイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail料金表」を参照してください。

• 証跡の CloudTrail インサイトイベントを記録します。 CloudTrailインサイトは、write 管理イベントを継続的に分析することで、CloudTrail API コールに関連する異常なアクティビティや異常なアクティビティを特定して対応するのに役立ちます。CloudTrailInsights は、数学モデルを使用して、アカウントの API およびサービスイベントアクティビティの通常のレベルを決定します。これは通常のパターンの外にある動作を識別し、インサイトイベントを生成して、証跡の選択した送信先 S3 バケットの /CloudTrail-Insight フォルダにそれらのイベントを配信します。Insights の詳細については、「CloudTrail」を参照してください。証跡のインサイトイベントの記録

  注記

  インサイトイベントの記録には追加料金が適用されます。詳細については、「AWS CloudTrail料金表」を参照してください。

• 特定のイベントが発生したときに警告するように CloudWatch Logs アラームをセットアップします。 CloudWatch Logs を使用すると、CloudTrail によってキャプチャされた特定のイベントに関するアラートを監視および受信できます。たとえば、For example, you can monitor key security and network-related management events, such as 失敗した AWS コンソールサインインイベント、認証エラーが原因で失敗した API 呼び出し、または Amazon EC2 インスタンスに対する変更などの主要なセキュリティおよびネットワーク関連の管理イベントについて監視できます。詳細については、「Amazon CloudWatch Logs を使用して CloudTrail のログファイルをモニタリングする」を参照してください。

• 分析ツールを使用して、CloudTrail ログの傾向を識別します。 イベント履歴のフィルタは最近のアクティビティで特定のイベントまたはイベントタイプを見つけるのに役立ちますが、アクティビティをより長い期間にわたって検索する機能を提供しません。より深い、より詳細な分析には、Amazon Athena を使用できます。詳細については、 ユーザーガイドの「AWS CloudTrail ログのクエリ」を参照してください。Amazon Athena