コンソールで組織の証跡を作成する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールで組織の証跡を作成する

CloudTrail コンソールで組織証跡を作成するには、管理アカウントの IAM ユーザーまたはロールを使用して、十分なアクセス許可。管理アカウントでサインインしていない場合、CloudTrail コンソールで証跡を作成または編集するときに、証跡を組織に適用するオプションは表示されません。

組織の証跡をさまざまな方法で設定することができます。たとえば、以下のことが可能です。

  • デフォルトでは、コンソールで証跡を作成するときに、証跡にすべてのリージョンが記録されます。アカウント内のすべてのリージョンのログ記録は、推奨されるベストプラクティスです。単一リージョンの証跡を作成するにはの使用AWS CLI。詳細については、「CloudTrail の詳細」を参照してください。

  • 証跡を組織に適用するかどうかを指定します。デフォルトでは適用されません。組織の証跡を作成するには、このオプションを選択する必要があります。

  • 組織の証跡用のログファイルを受信するために使用する Amazon S3 バケットを指定します。管理アカウントで既存の Amazon S3 バケットを選択するか、組織の証跡用に特別に作成することができます。

  • 管理イベントとデータイベントの場合は、ログ記録を行うかどうかを指定します。Readイベントと書き込みイベント、またはその両方。CloudTrail のインサイトイベントは管理時にのみ記録されます書き込みイベント. 管理アカウントのリソースのログデータイベントを指定するには、コンソールのリストからそれらを選択します。データイベント記録を有効にする各リソースの ARM を指定した場合は、メンバーアカウントで指定できます。詳細については、「データイベント」を参照してください。

AWS Management Console で組織の証跡を作成するには

  1. にサインインします。AWS Management Consoleに移動し、CloudTrail コンソールをhttps://console.aws.amazon.com/cloudtrail/

    ユーザー、ロール、またはルートアカウントとしてログインする必要があります。十分なアクセス許可組織の証跡を作成します。

  2. [Trails (証跡)] を選択し、[Create trail (証跡の作成)] を選択します。

  3. [Create Trail (証跡の作成)] ページの [Trail name (証跡名)] に証跡の名前を入力します。詳細については、「CloudTrail 証跡の命名要件」を参照してください。

  4. Select組織内のすべてのアカウントに対して有効にする。このオプションは、管理アカウントの IAM ユーザーまたはロールでコンソールにサインインしている場合にのみ表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。

  5. を使用する場合ストレージの場所] で、[新しい S3 バケットの作成バケットを作成します。バケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。

    注記

    [] を選択した場合既存の S3 バケットの使用で、バケットをトレイルログバケット名を選択するか、参照バケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、CloudTrail の Amazon S3 バケットポリシー を参照してください。

    ログを見つけやすくするために、新しいフォルダー (プレフィックス) を使用して CloudTrail ログを保存します。接頭辞をプレフィックス

  6. を使用する場合SSE-KMS 暗号化] で、[[Enabled (有効)]SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化する場合は、デフォルトは です。[Enabled (有効)]。この暗号化の種類の詳細については、」Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護

    SSE-KMS 暗号化を有効にする場合は、新規またはEXIT AWS KMSカスタマーマスターキー。EclipseAWS KMSエイリアスで、エイリアスを指定します。alias/MyAliasName。詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「CMK を使用するために証跡を更新する」を参照してください。キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、設定AWS KMSCloudTrail の重要なポリシー を参照してください。

  7. Eclipse追加設定[] で、以下を設定します。

    1. を使用する場合ログファイルの検証] で、[[Enabled (有効)]S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

    2. を使用する場合SNS 通知の配信] で、[[Enabled (有効)]ログがバケットに配信されるたびに通知を受ける必要があります。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「Amazon SNS の CloudTrail 通知の設定」を参照してください。

      SNS 通知を有効にすると、新しい SNS トピックの作成] で、[新規トピックを作成するか、EXIT既存のトピックを使用するには すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      [] を選択した場合新規に設定されている場合、CloudTrail は新しいトピックの名前を指定するか、名前を入力できます。[] を選択した場合EXITドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。Amazon SNS コンソールから購読することができます。通知頻度の都合上、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、Amazon Simple Notification Service 入門ガイドを参照してください。

  8. 必要に応じて、CloudTrail でログファイルを CloudWatch Logs に送信するように CloudTrail を設定します。[Enabled (有効)][CloudWatch Logs]。詳細については、「CloudWatch Logs へのイベントの送信」を参照してください。

    1. CloudWatch Logs との統合を有効にする場合は、新規新しいロググループを作成するにはEXIT既存のものを使用します。[] を選択した場合新規CloudTrail によって新しいロググループの名前が指定されるか、名前を入力できます。

    2. [] を選択した場合EXITドロップダウンリストから、ロググループを選択します。

    3. 選択新規CloudWatch Logs にログを送信するためのアクセス許可用の新しい IAM ロールを作成します。選択EXITドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、ポリシードキュメント。このロールの詳細については、「CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント」を参照してください。

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs グループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、CloudTrail 証跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、CloudTrail リソースにリソースグループを使用できます。詳細については、「AWS Resource Groups」および「軌跡にタグを使用する理由」を参照してください。

  10. リポジトリの []ログイベントを選択ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. を使用する場合API アクティビティ証跡で記録する対象をReadイベントと書き込みイベント、またはその両方。詳細については、「管理イベント」を参照してください。

    2. 選択除外AWS KMSイベントフィルタリングAWS Key Management Service(AWS KMS) イベントを証跡から。デフォルト設定では、すべてのAWS KMSイベント.

      ログまたは除外するオプションAWS KMSイベントは、管理イベントを履歴に記録する場合にのみ使用できます。管理イベントのログを記録しないように選択した場合は、AWS KMSイベントはログに記録されず、AWS KMSイベントログの設定。

      通常、EncryptDecryptGenerateDataKey などの AWS KMS アクションは、大容量イベント (99% 以上) を生成します。これらのアクションは、[Read (読み取り)] イベントとしてログに記録されるようになりました。少量、関連性AWS KMSなどのアクションDisable,Delete, およびScheduleKey(通常、AWS KMSイベントボリューム) は、書き込みイベント.

      のような大量のイベントを除外するにはEncrypt,Decrypt, およびGenerateDataKeyなどの関連イベントを記録しますが、Disable,DeleteおよびScheduleKeyで、ログを選択します。書き込み管理イベントをログに記録し、除外AWS KMSイベント

    3. 選択Amazon RDS Data API イベントの除外Amazon Relational Database Service データ API イベントを証跡からフィルタリングします。デフォルト設定では、すべての Amazon RDS データ API イベントが含まれます。Amazon RDS データ API イベントの詳細については、「」を参照してください。による Data API コールのログ記録AWS CloudTrail()Aurora の Amazon RDS ユーザーガイド

  11. を使用する場合データイベントイベントAmazon S3 バケット用のログ記録データイベントを指定するにはAWS Lambda関数、Amazon DynamoDB テーブル、またはこれらのリソースタイプの組み合わせを使用します。デフォルトでは、証跡はデータイベントを記録しません。データイベントのログ記録には追加料金が適用されます。詳細については、「データイベント」を参照してください。CloudTrail の料金については、AWS CloudTrail料金

    注記

    高度なイベントセレクタを使用すると、より多くのデータイベントタイプを使用できます。高度なイベントセレクタの使用を選択している場合は、」コンソールで証跡を作成する (高度なイベントセレクタ)を使用して、証跡にデータイベントログを設定します。

    Amazon S3 バケットの場合

    1. を使用する場合データイベントソース] で、[S3

    2. あなたは、ログに選択することができます現在および将来のすべての S3 バケットまたは、バケットまたは関数を個々に指定することができます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。

      注記

      デフォルトを維持する現在および将来のすべての S3 バケットオプションでは、現在すべてのバケットのデータイベントのログ記録が有効になります。AWSアカウントと、証跡の作成が完了した後に作成したバケットのすべてが表示されます。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も行うことができます。

      証跡が 1 つのリージョンのみに適用される場合、[アカウントのすべての S3 バケットの選択] オプションを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後で作成するバケットに対して、データイベントのログ記録が証跡として有効になります。他のリージョンの Amazon S3 バケットのデータイベントは記録されません。AWSアカウント.

    3. デフォルトのままにすると、現在および将来のすべての S3 バケットで、ログを選択します。Readイベントと書き込みイベント、またはその両方。

    4. 個々のバケットを選択するには、Readおよび書き込みのチェックボックス現在および将来のすべての S3 バケット。Eclipse個々のバケット選択で、データイベントをログに記録するバケットを参照します。特定のバケットを検索するには、目的のバケットのバケットプレフィックスを入力します。このウィンドウで、複数のバケットを選択できます。選択バケットの追加より多くのバケットのデータイベントをログに記録します。ログ記録の選択Readイベントなど、GetObject,書き込みイベントなど、PutObjectか、またはその両方となります。

      この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [読み取り] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [読み取り] が設定されています。選択を解除することはできません。[書き込み] のオプションしか設定することができません。

      ログ記録からバケットを削除するには、X

  12. データイベントをログに記録する別のデータ型を追加するには、データイベントタイプの追加

  13. Lambda 関数の場合

    1. を使用する場合データイベントソース] で、[Lambda

    2. EclipseLambda 関数] で、[すべてのリージョンを使用してすべての Lambda 関数をログに記録するか、ARN としての入力関数特定の関数でデータイベントをログに記録します。

      すべての Lambda 関数のデータイベントをログに記録するにはAWSアカウントから、現在および将来のすべての関数をログに記録する。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。

      注記

      すべてのリージョンで証跡を作成している場合は、この選択によって、現時点のすべての関数のデータイベントのログ記録が有効になります。AWSアカウントのほか、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数も使用できます。1 つのリージョンのトレイルを作成する場合 (AWS CLI)、この選択により、現在そのリージョンにあるすべての関数のデータイベントログが有効になります。AWSアカウント、およびトレイルの作成完了後にそのリージョンに作成できる Lambda 関数が含まれます。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

      このアクティビティが、その他の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

    3. [] を選択した場合ARN としての入力関数で、Lambda 関数の ARN を入力します。

      注記

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、AWS CLIとput-event-selectorsコマンドを使用して、特定の Lambda 関数のデータイベントログを設定します。詳細については、「による軌跡の管理AWS CLI」を参照してください。

  14. DynamoDB テーブルの場合:

    1. を使用する場合データイベントソース] で、[DynamoDB

    2. EclipseDynamoDB テーブルの選択] で、[参照をクリックしてテーブルを選択するか、アクセス権を持つ DynamoDB テーブルの ARN に貼り付けます。DynamoDB テーブル ARN は、次の形式です。

      arn:partition:dynamodb:region:account_ID:table/table_name

      別のテーブルを追加するには、行の追加をクリックし、テーブルを参照するか、アクセス権のあるテーブルの ARN に貼り付けます。

  15. ログに記録するイベントタイプの選択が終了したら、

  16. リポジトリの []確認と作成[] ページで、選択内容を確認します。選択編集をクリックして、そのセクションに表示される基準線設定を変更します。証跡を作成する準備ができたら、証跡の作成

  17. 新しい証跡が [Trails (証跡)] ページに表示されます。組織の証跡がすべてのメンバーアカウントのすべてのリージョンで作成されるまでに、最大 24 時間かかることがあります。[Trails] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 15 分で CloudTrail によってログファイルが発行され、AWS組織内で行われた API 呼び出し。ログファイルは、指定した Amazon S3 バケットに表示されます。

注記

証跡の作成後に証跡名を変更することはできません。ただし、証跡を削除して新しい証跡を作成することは可能です。

次のステップ

証跡を作成したら、証跡に戻って次の変更を加えることができます。

注記

証跡を設定する際には、別のアカウントに属している Amazon S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs グループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。