翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrailとは
AWS CloudTrail は AWS のサービス 、 の運用とリスクの監査、ガバナンス、コンプライアンスを可能にするのに役立つ です AWS アカウント。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、イベントとして に記録されます CloudTrail。イベントには、 AWS Management Console、、 AWS Command Line Interfaceおよび AWS SDKs で実行されたアクションが含まれますAPIs。
CloudTrail は、作成 AWS アカウント 時に でアクティブになります。でアクティビティが発生すると AWS アカウント、そのアクティビティは CloudTrail イベントに記録されます。
CloudTrail には、イベントを記録する 3 つの方法があります。
-
[イベント履歴] - [イベント履歴] では、 AWS リージョン 内の過去 90 日間の管理イベントに関するレコードを表示、検索、ダウンロードできます。このレコードは変更できません。単一の属性でフィルタリングして、イベントを検索できます。アカウントの作成時に、[イベント履歴] へのアクセス権が自動的に付与されます。詳細については、「 CloudTrail イベント履歴の使用」を参照してください。
イベント履歴を表示するための CloudTrail 料金はかかりません。
-
CloudTrail Lake – AWS CloudTrail Lake は、監査およびセキュリティ AWS 上の目的で、 のユーザーとAPIアクティビティをキャプチャ、保存、アクセス、分析するためのマネージドデータレイクです。 CloudTrail Lake は、行ベースのJSON形式の既存のイベントを Apache ORC
形式に変換します。ORC は、データを迅速に取得できるように最適化された列指向ストレージ形式です。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。 AWS アカウント を使用して、単一の AWS アカウント または複数の のイベントデータストアを作成できます AWS Organizations。S3 バケットから既存の CloudTrail ログを既存または新規のイベントデータストアにインポートできます。Lake ダッシュボードを使用して、上位の CloudTrail イベントの傾向を視覚化することもできます。詳細については、「の使用 AWS CloudTrail レイク」を参照してください。 CloudTrail Lake イベントデータストアとクエリには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。Lake CloudTrail の料金とコスト管理の詳細については、AWS CloudTrail 「 の
料金」および「」を参照してください CloudTrail Lake コストの管理。 -
証跡 — 証跡は AWS アクティビティの記録をキャプチャし、これらのイベントを Amazon S3 バケットに配信および保存します。オプションで CloudWatch Logs と Amazon EventBridgeに配信します。これらのイベントをセキュリティ監視ソリューションに入力できます。Amazon Athena などの独自のサードパーティーソリューションを使用して、 CloudTrail ログを検索および分析することもできます。 AWS アカウント を使用して、単一の AWS アカウント または複数の の証跡を作成できます AWS Organizations。Insights イベントをログに記録して、管理イベントを分析して、APIコールボリュームの異常な動作やエラー率を確認できます。詳細については、「の証跡の作成 AWS アカウント」を参照してください。
証跡を作成 CloudTrail することで、 から S3 バケットに継続的な管理イベントのコピーを 1 つ無料で配信できますが、Amazon S3 ストレージ料金が発生します。 CloudTrail 料金の詳細については、「 の料金AWS CloudTrail
」を参照してください。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金 」を参照してください。
AWS アカウントのアクティビティを可視化することは、セキュリティと運用のベストプラクティスの重要な側面です。 CloudTrail を使用して、 AWS インフラストラクチャ全体のアカウントアクティビティを表示、検索、ダウンロード、アーカイブ、分析、および対応できます。誰が、または何がどのアクションを実行したか、どのリソースがどのアクションを実行したか、イベントが発生した日時、および AWS アカウントのアクティビティの分析と対応に役立つその他の詳細を特定できます。
を使用してアプリケーション CloudTrail に統合したりAPI、組織の証跡またはイベントデータストアの作成を自動化したり、作成したイベントデータストアと証跡のステータスを確認したり、ユーザーが CloudTrail イベントを表示する方法を制御したりできます。
アクセス CloudTrail
は、次のいずれか CloudTrail の方法で操作できます。
CloudTrail コンソール
にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/
CloudTrail コンソールには、次のような多くの CloudTrail タスクを実行するためのユーザーインターフェイスが用意されています。
-
AWS アカウントの最近のイベントとイベント履歴の表示。
-
過去 90 日間の管理イベントのフィルタリングされたファイルまたは完全なファイルをイベント履歴 からダウンロードします。
-
CloudTrail 証跡の作成と編集。
-
CloudTrail Lake イベントデータストアの作成と編集。
-
イベントデータストアでのクエリの実行。
-
以下を含む証 CloudTrail 跡の設定
-
証跡用の Amazon S3 バケットの選択。
-
プレフィックスの設定。
-
CloudWatch ログへの配信の設定。
-
証跡データの暗号化に AWS KMS キーを使用する。
-
証跡でのログファイル配信のための Amazon SNS通知の有効化。
-
証跡タグを追加および管理します。
-
-
以下を含む CloudTrail Lake イベントデータストアの設定
-
イベントデータストアを CloudTrail パートナーまたは独自のアプリケーションと統合して、 外のソースからのイベントをログに記録します AWS。
-
Amazon Athena からクエリを実行するためのイベントデータストアのフェデレーション。
-
イベントデータストアデータの暗号化に AWS KMS キーを使用する。
-
イベントデータストアでのタグの追加および管理。
-
の詳細については、 AWS Management Console「」を参照してくださいAWS Management Console。
AWS CLI
AWS Command Line Interface は、コマンドライン CloudTrail から操作するために使用できる統合ツールです。詳細については、「AWS Command Line Interface ユーザーガイド」を参照してください。コマンドの完全なリストについては、 CloudTrail CLI「 コマンドリファレンス」の「cloudtrail」と「cloudtrail-data」を参照してください。 AWS CLI
CloudTrail APIs
コンソールと に加えてCLI、 を使用して CloudTrail RESTful CloudTrail 直接APIsプログラムすることもできます。詳細については、「 AWS CloudTrail APIリファレンス」およびCloudTrail「-Data APIリファレンス」を参照してください。
AWS SDKs
を使用する代わりに CloudTrail API、 のいずれかを使用できます AWS SDKs。各 SDKは、さまざまなプログラミング言語とプラットフォーム用のライブラリとサンプルコードで構成されています。SDKs を使用すると、 へのプログラムによるアクセスを簡単に作成できます CloudTrail。例えば、 を使用して、リクエストSDKsを暗号化して署名し、エラーを管理し、リクエストを自動的に再試行できます。詳細については、「 で構築するツール AWS