とは AWS CloudTrail? - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

とは AWS CloudTrail?

AWS CloudTrail は、業務監査、リスク監査、ガバナンス、 AWS のサービス コンプライアンスを実現するのに役立つものです。 AWS アカウントユーザ、ロール、 AWS またはサービスが実行したアクションは、イベントとして記録されます。 CloudTrailイベントには、、、 AWS SDK AWS Management Console AWS Command Line Interface、API で実行されたアクションが含まれます。

CloudTrail AWS アカウント 作成時にアクティブになります。でアクティビティが発生すると AWS アカウント、 CloudTrail そのアクティビティはイベントに記録されます。

CloudTrail には、次の 3 つの方法でイベントを記録できます。

  • [イベント履歴] - [イベント履歴] では、 AWS リージョン 内の過去 90 日間の管理イベントに関するレコードを表示、検索、ダウンロードできます。このレコードは変更できません。単一の属性でフィルタリングして、イベントを検索できます。アカウントの作成時に、[イベント履歴] へのアクセス権が自動的に付与されます。詳細については、「 CloudTrail イベント履歴の操作」を参照してください。

    CloudTrail イベント履歴の閲覧には料金はかかりません

  • CloudTrail AWS CloudTrail Lake — Lake は、監査とセキュリティの目的でユーザーと API のアクティビティをキャプチャ、保存、アクセス、 AWS 分析するためのマネージドデータレイクです。 CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC 形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。を使用して、 AWS アカウント 単一または複数のイベントデータストアを作成できます。 AWS アカウント AWS Organizations S3 CloudTrail バケットの既存のログを既存または新しいイベントデータストアにインポートできます。Lake CloudTrail ダッシュボードでは上位のイベントトレンドを視覚化することもできます。詳細については、「AWS CloudTrail Lake の使用」を参照してください。

    CloudTrail Lake のイベントデータストアとクエリには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。Lake CloudTrail コストの価格設定と管理について詳しくは、「AWS CloudTrail 料金表」と CloudTrail Lake コストの管理「」を参照してください。

  • 証跡 — AWS 記録はアクティビティの記録をキャプチャし、これらのイベントを Amazon S3 バケットに配信して保存します。オプションで CloudWatch Logs と Amazon への配信も可能です。 EventBridgeこれらのイベントをセキュリティ監視ソリューションに入力できます。また、独自のサードパーティソリューションや Amazon Athena CloudTrail などのソリューションを使用してログを検索および分析することもできます。を使用して、1 AWS アカウント AWS アカウント つまたは複数のトレイルを作成できます。 AWS OrganizationsInsights イベントをログに記録して、異常な API 呼び出しの量とエラー率について管理イベントを分析できます。詳細については、「あなたのためのトレイルの作成 AWS アカウント」を参照してください。

    CloudTrail 証跡を作成することで、進行中の管理イベントのコピーを 1 つでも無料で S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。 CloudTrail 料金の詳細については、「AWS CloudTrail 料金表」を参照してください。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金」を参照してください。

AWS アカウントアクティビティを可視化することは、セキュリティと運用上のベストプラクティスの重要な側面です。 CloudTrail を使用して、 AWS インフラストラクチャ全体のアカウントアクティビティを表示、検索、ダウンロード、アーカイブ、分析、対応することができます。誰または何がどのアクションを実行したか、どのリソースに対してアクションが実行されたか、いつイベントが発生したか、その他の詳細情報を特定できるため、 AWS アカウント内のアクティビティの分析と対応に役立ちます。

API CloudTrail を使用してアプリケーションに統合したり、組織の記録データストアやイベントデータストアの作成を自動化したり、作成したイベントデータストアや記録のステータスを確認したり、 CloudTrail ユーザーによるイベントの表示方法を制御したりできます。

アクセス CloudTrail

CloudTrail では以下のいずれかの方法で作業できます。

CloudTrail コンソール

AWS Management Console にサインインし、https://console.aws.amazon.com/cloudtrail/ CloudTrail でコンソールを開きます。

CloudTrail コンソールには、 CloudTrail 次のような多くのタスクを実行するためのユーザーインターフェイスがあります。

  • AWS アカウントの最近のイベントとイベント履歴を表示する。

  • 過去 90 日間の管理イベントのフィルター処理済みまたは完全なファイルを、イベント履歴からダウンロードします

  • CloudTrail 記録の作成と編集。

  • CloudTrail Lake イベントデータストアの作成と編集。

  • イベントデータストアでのクエリの実行。

  • CloudTrail 以下を含むトレイルの設定:

    • 証跡用の Amazon S3 バケットの選択。

    • プレフィックスの設定。

    • CloudWatch Logs への配信の設定。

    • AWS KMS キーを使用してトレイルデータを暗号化する。

    • ログファイル配信用の Amazon SNS 通知の証跡での有効化。

    • 証跡タグを追加および管理します。

  • 以下を含む CloudTrail Lake イベントデータストアの設定:

    • CloudTrail イベントデータストアをパートナーや自社アプリケーションと統合して、外部ソースからのイベントをログに記録する。 AWS

    • イベントデータストアをフェデレーションして Amazon Athena からクエリを実行する。

    • AWS KMS キーを使用してイベントデータストアデータを暗号化する。

    • イベントデータストアでのタグの追加および管理。

の詳細については AWS Management Console、を参照してくださいAWS Management Console

AWS CLI

AWS Command Line Interface は、 CloudTrail コマンドラインから操作できる統合ツールです。詳細については、『AWS Command Line Interface ユーザーガイド』を参照してください。 CloudTrail CLI コマンドの完全なリストについては、『コマンドリファレンス』の cloudtrailcloudtrail-data を参照してください。AWS CLI

CloudTrail API

コンソールと CLI に加えて、 CloudTrail RESTful API CloudTrail を使用して直接プログラミングすることもできます。詳細については、API リファレンスと CloudTrail-Data AWS CloudTrail API リファレンスを参照してください

AWS SDK

CloudTrail API を使用する代わりに、いずれかの AWS SDK を使用することもできます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK を使用すると、へのプログラムによるアクセスを簡単に作成できます。 CloudTrail例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、「構築するツール」ページを参照してください。 AWS