コンソールで組織の証跡を作成する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールで組織の証跡を作成する

CloudTrail コンソールから組織の証跡を作成するには、十分なアクセス許可を持つ管理アカウントまたは委任管理者アカウントのユーザーまたはロールとしてコンソールにサインインする必要があります。管理アカウントまたは委任管理者アカウントでサインインしない場合、コンソールから CloudTrail証跡を作成または編集するときに、組織に証跡を適用するオプションは表示されません。

を使用して組織の証跡を作成するには AWS Management Console
  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

    組織の証跡を作成するのに十分なアクセス許可を持つ管理アカウントまたは委任管理者アカウントの IAM ID を使用してサインインする必要があります。

  2. [Trails] (証跡) を選択し、[Create trail] (証跡の作成) を選択します。

  3. [Create Trail] (証跡の作成) ページの [Trail name] (証跡名) に証跡の名前を入力します。詳細については、「CloudTrail リソース、Amazon S3 バケット、KMS キーの命名要件」を参照してください。

  4. [組織内のすべてのアカウントに対して有効にする] を選択します。管理アカウントまたは委任された管理者アカウントのユーザーまたはロールでコンソールにサインインした場合にのみ、このオプションが表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。

  5. [ストレージの場所] の [S3 バケットを作成する] を選択すると、新しいバケットが作成されます。バケットを作成すると、 は必要なバケットポリシー CloudTrail を作成して適用します。

    注記

    [Use existing S3 bucket] を選択した場合、[Trail log bucket name] のバケットを指定するか、[Browse] を選択してバケットを選択します。任意のアカウントに属するバケットを選択できますが、バケットポリシーはバケットに書き込むアクセス許可を付与 CloudTrailする必要があります。バケットポリシーを手動で編集する方法については、CloudTrail の Amazon S3 バケットポリシー を参照してください。

    ログを見つけやすくするには、既存のバケットに新しいフォルダ (プレフィックスとも呼ばれます) を作成して CloudTrail ログを保存します。プレフィックスを [プレフィックス] に入力します。

  6. ログファイル SSE-KMS 暗号化 では、-SSE-S3 暗号化の代わりに SSE-KMS 暗号化を使用してログファイルを暗号化する場合は、有効 を選択します。デフォルトは [Enabled] です。SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、「 (SSE-KMS) による AWS Key Management Service サーバー側の暗号化の使用」を参照してください。SSE-S3 暗号化の詳細については、「Amazon S3-Managed暗号化キーによるサーバー側の暗号化の使用 (SSE-S3)」を参照してください。

    SSE-KMS 暗号化を有効にする場合は、新規または既存 AWS KMS keyを選択します。AWS KMS エイリアスで、 形式でエイリアスを指定しますalias/MyAliasName。詳細については、「コンソールでKMSキーを使用するようにリソースを更新する」を参照してください。

    注記

    別のアカウントのキーARNの を入力することもできます。詳細については、「コンソールでKMSキーを使用するようにリソースを更新する」を参照してください。キーポリシーでは、 CloudTrail がキーを使用してログファイルを暗号化し、指定したユーザーが暗号化されていない形式でログファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、CloudTrail の AWS KMS キーポリシーを設定する を参照してください。

  7. [Additional settings] で、次の操作を行います。

    1. [ログファイル検証を有効にする] で [Enabled] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルを使用して、 がログファイルを CloudTrail 配信した後に変更されていないことを確認できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

    2. SNS 通知配信では、ログがバケットに配信されるたびに通知されるように有効化を選択します。 は、ログファイルに複数のイベント CloudTrail を保存します。 SNS通知は、すべてのイベントではなく、すべてのログファイルに送信されます。詳細については、「の Amazon SNS通知の設定 CloudTrail」を参照してください。

      SNS 通知を有効にする場合は、「新しいSNSトピックを作成する」で「新規」を選択してトピックを作成するか、「既存」を選択して既存のトピックを使用します。すべてのリージョンに適用される証跡を作成する場合、すべてのリージョンからのログファイル配信SNSの通知は、作成した 1 つのSNSトピックに送信されます。

      新規 を選択した場合、 は新しいトピックの名前 CloudTrail を指定するか、名前を入力できます。既存 を選択した場合は、ドロップダウンリストから SNSトピックを選択します。別のリージョンまたは適切なアクセス許可を持つアカウントからトピックARNの を入力することもできます。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。Amazon SNSコンソールからサブスクライブできます。通知の頻度が高いため、Amazon SQSキューを使用して通知をプログラムで処理するようにサブスクリプションを設定することをお勧めします。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon の開始方法SNS」を参照してください。

  8. 必要に応じて、 CloudWatch ログで有効 を選択してログファイルを CloudWatch ログに送信する CloudTrail ように を設定します。詳細については、「「CloudWatch Logs へのイベントの送信」」を参照してください。

    注記

    管理アカウントのみが、 コンソールを使用して組織の証跡の CloudWatch ロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail CreateTrail オペレーション、または UpdateTrailAPIオペレーションを使用して Logs CloudWatch ロググループを設定できます。

    1. CloudWatch ログとの統合を有効にする場合は、新規を選択して新しいロググループを作成するか、既存を選択して既存のロググループを使用します。新規 を選択した場合、 は新しいロググループの名前 CloudTrail を指定するか、名前を入力できます。

    2. [Existing] を選択した場合、ドロップダウンリストからロググループを選択します。

    3. 新規 を選択して、ログにログを送信するアクセス許可の新しいIAMロールを作成します CloudWatch 。既存の を選択して、ドロップダウンリストから既存のIAMロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。このロールの詳細については、「CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント」を参照してください。

      注記

      証跡を設定するときは、別のアカウントに属する S3 バケットと Amazon SNSトピックを選択できます。ただし、イベント CloudTrail を CloudWatch Logs ロググループに配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。

  9. [タグ] セクションでは、証跡を特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグは、証 CloudTrail 跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、 CloudTrail リソースのリソースグループを使用できます。詳細については、AWS Resource Groupsおよび[タグ]を参照してください。

  10. [Choose log events] ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. API アクティビティでは、証跡で読み取りイベント、書き込みイベント、またはその両方をログに記録するかどうかを選択します。詳細については、「管理イベント」を参照してください。

    2. AWS KMS イベントを除外を選択して、証跡から (AWS KMS) イベントをフィルタリング AWS Key Management Service します。デフォルト設定では、すべての AWS KMS イベントが含まれています。

      AWS KMS イベントをログ記録または除外するオプションは、証跡に管理イベントをログ記録する場合にのみ使用できます。管理イベントをログに記録しないことを選択した場合、 AWS KMS イベントはログに記録されず、 AWS KMS イベントログ設定を変更することはできません。

      AWS KMS Encrypt、、 などの アクションはDecryptGenerateDataKey通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。、、 ScheduleKey (通常は AWS KMS イベントボリュームの 0.5% 未満を占める) Disableなどの少量の関連 AWS KMS アクションはDelete書き込みイベントとして記録されます。

      EncryptDecryptGenerateDataKey のようなボリュームの大きなイベントを除外し、DisableDeleteScheduleKey などの関連イベントを記録する場合は、[書き込み] 管理イベントを記録することを選択し、[Exclude AWS KMS events] チェックボックスをオフにします。

    3. Amazon RDS Data APIイベントを除外を選択して、証跡から Amazon Relational Database Service Data APIイベントをフィルタリングします。デフォルト設定では、すべての Amazon RDS Data APIイベントが含まれます。Amazon RDS Data APIイベントの詳細については、「Aurora 用 Amazon ユーザーガイド」の「 によるデータAPI呼び出しのログ記録 AWS CloudTrail」を参照してください。 RDS

  11. データイベントをログに記録するには、[データイベント] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail 料金」を参照してください。

  12. 重要

    ステップ 12 ~ 16 は、デフォルトである高度なイベントセレクターを使用してデータイベントを設定するためのものです。高度なイベントセレクタを使用すると、より多くのリソースタイプを設定し、証跡がキャプチャするデータイベントをきめ細かく制御できます。ネットワークアクティビティイベントを (プレビュー) ログに記録する場合は、高度なイベントセレクタを使用する必要があります。ベーシックなイベントセレクターを使用する場合は、基本的なイベントセレクターを使用してデータイベント設定を構成する のステップを完了してから、この手順のステップ 17 に戻ってください。

    リソースタイプで、データイベントをログに記録するリソースタイプを選択します。使用可能なリソースタイプの詳細については、「」を参照してくださいデータイベント

  13. ログセレクタテンプレートを選択します。 には、リソースタイプのすべてのデータイベントをログに記録する事前定義されたテンプレート CloudTrail が含まれています。カスタムログセレクタテンプレートを構築するには、[Custom] を選択します。

    注記

    S3 バケットの事前定義されたテンプレートを選択すると、 AWS 現在アカウントにあるすべてのバケットと、証跡の作成後に作成したバケットのデータイベントログ記録が有効になります。また、別の AWS AWS アカウントに属するバケットでアクティビティが実行された場合でも、アカウント内の任意の IAM ID によって実行されたデータイベントアクティビティのログ記録を有効にします。

    証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウント内の他のリージョンの Amazon S3 バケットのデータイベントは記録されません。

    すべてのリージョンの証跡を作成する場合は、Lambda 関数の事前定義されたテンプレートを選択すると、 AWS アカウントで現在使用されているすべての関数と、証跡の作成後に任意のリージョンで作成できる Lambda 関数のデータイベントログ記録が有効になります。1 つのリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、この選択により、アカウントの AWS そのリージョンに現在存在するすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    すべての 関数のデータイベントをログに記録すると、そのアクティビティが別の AWS AWS アカウントに属する関数で実行されている場合でも、アカウントの任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も可能になります。

  14. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名はアドバンストイベントセレクタNameに としてリストされ、JSONビューを展開すると表示できます。

  15. Custom を選択した場合、高度なイベントセレクタは、高度なイベントセレクタフィールドの値に基づいて式を構築します。

    注記

    セレクタは、 * のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件に一致NotEndsWithさせるには、StartsWithNotStartsWith、、または EndsWithを使用して、イベントフィールドの開始または終了を明示的に一致させることができます。

    1. 次のフィールドから選択します。

      • readOnlyreadOnly は、true または false の値と [等しい] になるように設定できます。読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

      • eventName - eventName は任意の演算子を使用できます。これを使用して、、 CloudTrail、 などPutBucket、 に記録されたデータイベントを含めるGetItemか除外できますGetSnapshotBlock

      • resources.ARN - 任意の演算子を で使用できますがresources.ARN等号または不等号を使用する場合、値はテンプレートで の値として指定したタイプのARN有効なリソースの と完全に一致する必要がありますresources.type。詳細については、「resources.ARN でデータイベントをフィルタリングする」を参照してください。

        注記

        resources.ARN フィールドを使用して、 を持たないリソースタイプをフィルタリングすることはできませんARNs。

      データイベントリソースのARN形式の詳細については、「 AWS Identity and Access Management ユーザーガイド」の「アクション、リソース、および条件キー」を参照してください。

    2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、2 つの S3 バケットのデータイベントをイベントデータストアに記録されたデータイベントから除外するには、 フィールドを リソースに設定します。ARN の 演算子を で開始せず、イベントをログに記録したくない S3 バケットに貼り付けARNます。

      2 番目の S3 バケットを追加するには、+ 条件を選択し、前の手順を繰り返して、 ARN に貼り付けるか、別のバケットを参照します。

      が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいCloudTrail がフィールドの複数の条件を評価する方法

      注記

      イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

    3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタARNで を値と等しく指定しないでください。次に、 を別のセレクタで同じ値と等しくARNないように指定します。

  16. データイベントをログに記録するリソースタイプを追加するには、データイベントタイプを追加を選択します。ステップ 12 からこのステップを繰り返して、 リソースタイプの高度なイベントセレクタを設定します。

  17. ネットワークアクティビティイベントをログに記録するには、[ネットワークアクティビティイベント] を選択します。ネットワークアクティビティイベントを使用すると、VPCエンドポイント所有者は、VPCエンドポイントを使用して行われた呼び出しをプライベートから VPCに記録 AWS APIできます AWS のサービス。データイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail 料金」を参照してください。

    注記

    ネットワークアクティビティイベントは のプレビューリリースであり CloudTrail 、変更される可能性があります。

    ネットワークアクティビティイベントをログに記録するには、以下を実行します。

    1. [ネットワークアクティビティイベントソース] から、ネットワークアクティビティイベントのソースを選択します。

    2. [Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、[カスタム] を選択してカスタムログセレクタを構築し、eventNamevpcEndpointId などの複数のフィールドでフィルタリングすることができます。

    3. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに名前としてリストされ、JSONビューを展開すると表示できます。

    4. [高度なイベントセレクタ] で、[フィールド][演算子][値] の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

      1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。

        • eventNameeventName では任意の演算子を使用できます。これを使用して、CreateKey などの任意のイベントを含めるか除外することができます。

        • errorCode – エラーコードをフィルタリングするために使用できます。現在サポートされている errorCode は、VpceAccessDenied のみです。

        • vpcEndpointId – オペレーションが通過したVPCエンドポイントを識別します。vpcEndpointId では任意の演算子を使用できます。

      2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

      3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

    5. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、[ネットワークアクティビティイベントセレクタの追加] を選択します。

    6. 必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。

  18. 証跡で Insights イベントをログに記録する場合は、 CloudTrail Insights イベントを選択します。

    [Event type] で、[Insights events] を選択します。Insights イベントで、API通話率APIエラー率、またはその両方を選択します。API 通話レートの Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラー率の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。

    CloudTrail Insights は、管理イベントを分析して異常なアクティビティがないかを確認し、異常が検出されたときにイベントを記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「CloudTrail Insights の使用」を参照してください。Insights イベントの記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「 料金表」を参照してください。

    Insights イベントは、証跡の詳細ページのストレージロケーションエリアで指定されているのと同じ S3 バケット/CloudTrail-Insightの という名前の別のフォルダに配信されます。 CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/ になります。

  19. ログに記録するイベントタイプの選択が終了したら、[Next] を選択します。

  20. [Review and create] ページで選択内容を確認します。[Edit] を選択して、そのセクションに表示される証跡設定を変更します。証跡を作成する準備ができたら、[Create trail] を選択します。

  21. 新しい証跡が [Trails] (証跡) ページに表示されます。組織の証跡がすべてのメンバーアカウントのすべてのリージョンで作成されるまでに、最大で 24 時間かかることがあります。[Trails (証跡)] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 5 分で、 は組織内で行われた AWS API呼び出しを示すログファイル CloudTrail を発行します。ユーザーは、指定した Amazon S3 バケット内のログファイルを確認することができます。

注記

証跡の作成後に証跡名を変更することはできません。ただし、証跡を削除して新しい証跡を作成することは可能です。

次のステップ

証跡を作成したら、証跡に戻って次の変更を加えることができます。

注記

証跡を設定するときに、別のアカウントに属する Amazon S3 バケットとSNSトピックを選択できます。ただし、イベント CloudTrail を CloudWatch Logs ロググループに配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。