AWS CloudTrailとは - AWS CloudTrail
CloudTrail へのアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrailとは

AWS CloudTrail は、 の運用とリスクの監査、ガバナンス、コンプライアンスを可能にする AWS のサービス のに役立つ です AWS アカウント。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます。イベントには、 AWS Management Console、 AWS Command Line Interface、および AWS SDKs と APIs で実行されたアクションが含まれます。

CloudTrail は、作成 AWS アカウント 時に でアクティブになります。 AWS アカウントアカウントでアクティビティが発生した場合、そのアクティビティは CloudTrail イベントに記録されます。

CloudTrail には、次の 3 つの方法でイベントを記録できます。

  • [イベント履歴] - [イベント履歴] では、 AWS リージョン 内の過去 90 日間の管理イベントに関するレコードを表示、検索、ダウンロードできます。このレコードは変更できません。単一の属性でフィルタリングして、イベントを検索できます。アカウントの作成時に、[イベント履歴] へのアクセス権が自動的に付与されます。詳細については、「CloudTrail イベント履歴の操作」を参照してください。

    [イベント履歴] の閲覧には CloudTrail の料金はかかりません。

  • CloudTrail LakeAWS CloudTrail Lake は、監査およびセキュリティ AWS の目的で でユーザーおよび API アクティビティをキャプチャ、保存、アクセス、分析するためのマネージドデータレイクです。CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC 形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。 AWS アカウント を使用して、単一の AWS アカウント または複数の のイベントデータストアを作成できます AWS Organizations。S3 バケットに存在する任意の CloudTrail ログを、既存または新規のイベントデータストアにインポートできます。Lake ダッシュボードを使用して、CloudTrail イベントの上位トレンドを視覚化することもできます。詳細については、「AWS CloudTrail Lake の使用」を参照してください。

    CloudTrail Lake のイベントデータストアとクエリには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。CloudTrail 料金の詳細については、 ユーザーガイドの「AWS CloudTrail の料金」および「CloudTrail Lake のコスト管理」を参照してください。

  • 証跡証跡は AWS アクティビティの記録をキャプチャし、これらのイベントを Amazon S3 バケットに配信および保存し、オプションで CloudWatch LogsAmazon EventBridge に配信します。これらのイベントをセキュリティ監視ソリューションに入力できます。また、お持ちのサードパーティソリューションや Amazon Athena などのソリューションを使用して CloudTrail ログを検索および分析することもできます。 AWS アカウント を使用して、単一の AWS アカウント または複数の の証跡を作成できます AWS Organizations。Insights イベントをログに記録して、API コールレートとエラーレートで管理イベントを分析できます。詳細については、「の証跡の作成 AWS アカウント」を参照してください。

    証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金」を参照してください。

AWS アカウントのアクティビティを可視化することは、セキュリティと運用のベストプラクティスの重要な側面です。CloudTrail を使用して、 AWS インフラストラクチャ全体のアカウントアクティビティを表示、検索、ダウンロード、アーカイブ、分析、および応答できます。どのアクションを実行したか、何をしたか、どのリソースがアクションを実行したか、イベントが発生した日時、および AWS アカウントのアクティビティの分析と対応に役立つその他の詳細を特定できます。

API を使用して CloudTrail をアプリケーションに統合したり、組織用の証跡やイベントデータストアの作成を自動化したり、作成したイベントデータストアや証跡のステータスを確認したり、CloudTrail イベントをユーザーが表示する方法を制御したりすることができます。

CloudTrail へのアクセス

次のいずれかの方法で CloudTrail を使用できます。

CloudTrail コンソール

にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

CloudTrail コンソールは、以下を含めた数多くの CloudTrail タスクを実行するためのユーザーインターフェイスを提供します。

  • AWS アカウントの最近のイベントとイベント履歴の表示。

  • [イベント履歴] から、管理イベントの過去 90 日間をフィルタリングしたファイルまたは完全なファイルをダウンロード。

  • CloudTrail 証跡の作成と編集。

  • CloudTrail Lake イベントデータストアの作成と編集。

  • イベントデータストアでのクエリの実行。

  • CloudTrail 証跡の設定には以下を含みます。

    • 証跡用の Amazon S3 バケットの選択。

    • プレフィックスの設定。

    • CloudWatch Logs への配信の設定。

    • 証跡データの暗号化に AWS KMS キーを使用する。

    • ログファイル配信用の Amazon SNS 通知の証跡での有効化。

    • 証跡タグを追加および管理します。

  • CloudTrail Lake イベントデータストアの設定には以下を含みます。

    • イベントデータストアを CloudTrail パートナーまたは独自のアプリケーションと統合して、 外のソースからのイベントをログに記録します AWS。

    • Amazon Athena からクエリを実行するための、イベントデータストアのフェデレーション。

    • イベントデータストアデータの暗号化に AWS KMS キーを使用する。

    • イベントデータストアでのタグの追加および管理。

の詳細については AWS Management Console、「」を参照してくださいAWS Management Console

AWS CLI

AWS Command Line Interface は、コマンドラインから CloudTrail を操作するために使用できる統合ツールです。詳細については、AWS Command Line Interface ユーザーガイドをご参照ください。CloudTrail CLI コマンドの完全なリストについては、「AWS CLI コマンドリファレンス」の「cloudtrail」および「cloudtrail-data」を参照してください。

CloudTrail API

コンソールと CLI に加えて、CloudTrail RESTful API も使用できます。API を使用すれば、CloudTrail を直接プログラムすることができます。詳細については、「AWS CloudTrail API リファレンス」および「CloudTrail データ API リファレンス」を参照してください。

AWS SDKs

CloudTrail API を使用する代わりに、いずれかの AWS SDKsを使用できます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、CloudTrail へのアクセス権をプログラムによって作成するのに役立ちます。例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、「AWSでの構築ツール」を参照してください。