AWS CloudTrail
ユーザーガイド (Version 1.0)

CloudTrail ワークフロー

AWS アカウントのイベント履歴の表示

CloudTrail コンソールまたは AWS CLI を使用して、CloudTrail によって記録された過去 90 日間のイベントを表示および検索できます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

イベントのダウンロード

AWS アカウントの過去 90 日までの CloudTrail イベントを含む CSV ファイルまたは JSON ファイルをダウンロードできます。詳細については、「イベントのダウンロード」を参照してください。

証跡の作成

証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべてのリージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した S3 バケットにログファイルが配信されます。詳細については、「お使いの AWS アカウントにおける証跡の作成」を参照してください。

Amazon SNS トピックの作成と受信登録

バケットへのログファイルの配信に関する通知を受信するにはトピックを受信登録します。Amazon SNS は、Amazon Simple Queue Service でのプログラムによる通知を含む複数の方法で通知できます。詳細については、Amazon SNS の CloudTrail 通知の設定 を参照してください。

注記

すべてのリージョンからのログファイルの配信に関する SNS 通知を受信する場合は、証跡の SNS トピックを 1 つだけ指定します。すべてのイベントをプログラムで処理する場合は、「CloudTrail Processing Library の使用」を参照してください。

ログファイルの表示

ログファイルを取得するには Amazon S3 を使用します。詳細については、CloudTrail ログファイルの取得と表示 を参照してください。

ユーザーアクセス許可の管理

AWS Identity and Access Management (IAM) を使用して、証跡の作成、設定、または削除、ログ記録の開始と停止、およびログファイルを持つバケットへのアクセスの権限をどのユーザーが持つかを管理します。詳細については、「CloudTrail のユーザーアクセス権限のコントロール」を参照してください。

CloudWatch Logs でのイベントのモニタリング

CloudWatch Logs にイベントを送信するように証跡を設定できます。CloudWatch Logs を使用して、アカウントで特定の API コールとイベントをモニタリングできます。詳細については、「Amazon CloudWatch Logs を使用して CloudTrail のログファイルをモニタリングする」を参照してください。

注記

すべてのリージョンに適用される証跡を、イベントを CloudWatch Logs ロググループに送信するように設定した場合、CloudTrail はすべてのリージョンからのイベントを単一のロググループに送信します。

ログ管理とデータイベント

読み取り専用、書き込み専用、またはすべての管理およびデータイベントをログに記録するように証跡を設定します。デフォルトでは、証跡は管理イベントをログに記録します。詳細については、「証跡のデータイベントと管理イベントのログ記録」を参照してください。

ログ暗号化の有効化

ログファイルの暗号化は、ログファイルに追加のセキュリティレイヤーを提供します。詳細については、「AWS KMS で管理されたキー (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。

ログファイルの整合性の実現

ログファイルの整合性の検証により、CloudTrail によって配信されてからログファイルが変更されていないことを確認できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

他の AWS アカウントとのログファイルの共有

アカウント間でログファイルを共有することができます。詳細については、「AWS アカウント間での CloudTrail ログファイルの共有」を参照してください。

複数のアカウントからのログの集約

複数のアカウントからのログファイルを単一のバケットに集約できます。詳細については、「複数のアカウントから CloudTrail ログファイルを受け取る」を参照してください。

パートナーソリューションの使用

CloudTrail と統合されたパートナーソリューションで CloudTrail 出力を分析します。パートナーソリューションでは、変更の追跡、トラブルシューティング、セキュリティ分析などの幅広い機能セットが提供されます。詳細については、「AWS CloudTrail パートナーページ」を参照してください。