コンソール AWS を使用して、 の外部でイベントのイベントデータストアを作成する - AWS CloudTrail
の外部でイベントのイベントデータストアを作成するには AWS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソール AWS を使用して、 の外部でイベントのイベントデータストアを作成する

イベントデータストアを作成して の外部にイベントを含め AWS、 CloudTrail Lake を使用してアプリケーションからログに記録されたデータを検索、クエリ、分析できます。

CloudTrail Lake 統合を使用して、 の外部からのユーザーアクティビティデータをログに記録して保存できます AWS。オンプレミスまたはクラウドでホストされている社内アプリケーションや SaaS アプリケーション、仮想マシン、コンテナなど、ハイブリッド環境の任意のソースからのユーザーアクティビティデータです。

統合用としてイベントデータストアを作成する際は、同時にチャネルも作成し、そのチャネルにリソースポリシーをアタッチします。

CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake CloudTrail の料金とコスト管理の詳細については、AWS CloudTrail 「 の料金」および「」を参照してください CloudTrail Lake コストの管理

の外部でイベントのイベントデータストアを作成するには AWS

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail  料金表」と「 CloudTrail Lake コストの管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日が経過すると、延長保持は pay-as-you-go 料金で利用できます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの が指定された保持期間内であるかどうかを確認することで、eventTimeイベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、 eventTimeは 90 日を経過するとイベント CloudTrail を削除します。

  7. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、自分の を使用する AWS KMS keyを選択します。新規 を選択して AWS KMS key を作成するか、既存 を選択して既存のKMSキーを使用します。Enter KMS alias で、エイリアスを 形式で指定します。 alias/MyAliasName。 独自のKMSキーを使用するには、KMSキーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいの AWS KMS キーポリシーを設定する CloudTrail。 は AWS KMS マルチリージョンキー CloudTrail もサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自のKMSキーを使用すると、暗号化と復号化の AWS KMS コストが発生します。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存のKMSキーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、データカタログの AWS Glue イベントデータストアに関連付けられたメタデータを表示し、Athena のイベントデータに対してSQLクエリを実行できます。 AWS Glue Data Catalog に保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formationはこのロールを使用して、フェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については AWS、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。

  10. [次へ] を選択して、イベントデータストアを設定します。

  11. [Choose events] (イベントの選択) ページで、[Events from integrations] (統合からのイベント) を選択します。

  12. [Events from integration] (統合からのイベント) から、イベントデータストアにイベントを配信するソースを選択します。

  13. 統合のチャネルを識別するための名前を指定します。名前には 3~128 の文字数が使用できます。使用できるのは文字、数字、ピリオド、アンダースコア、ダッシュのみです。

  14. [Resource policy] (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。リソースポリシーは、指定されたプリンシパルがリソースに対して実行できるアクションと条件を指定するJSONポリシードキュメントです。リソースポリシーでプリンシパルとして定義されたアカウントは、 を呼び出しPutAuditEventsAPIて、 チャネルにイベントを配信できます。ポリシーで cloudtrail-data:PutAuditEventsアクションIAMが許可されている場合、リソース所有者はリソースに暗黙的にアクセスできます。

    ポリシーに必要な情報は、統合タイプによって決まります。方向統合の場合、 はパートナーの AWS アカウント CloudTrail を自動的に追加しIDs、パートナーから提供された一意の外部 ID を入力する必要があります。ソリューション統合では、少なくとも 1 つの AWS アカウント ID をプリンシパルとして指定する必要があります。また、必要に応じて外部 ID を入力して、混乱した代理を防ぐことができます。

    注記

    チャンネルのリソースポリシーを作成しない場合、チャンネル所有者のみがチャンネルPutAuditEventsAPIの を呼び出すことができます。

    1. 直接統合の場合には、パートナーから提供された外部 ID を入力します。統合パートナーは、一意の外部 ID (アカウント ID やランダムに生成された文字列など) を統合のために提供し、混乱した代理問題を防ぎます。パートナーが一意の外部 ID の作成と提供を責任もって行います。

      [How to find this?] (これを見つけるには?) を選択すると、外部 ID を検索する方法が記載された、パートナー提供のドキュメントを表示できます。

      外部 ID に関するパートナードキュメント
      注記

      リソースポリシーに外部 ID が含まれている場合、 へのすべての呼び出しに外部 ID が含まれているPutAuditEventsAPI必要があります。ただし、ポリシーで外部 ID が定義されていない場合でも、パートナーは を呼び出しPutAuditEventsAPIて externalIdパラメータを指定できます。

    2. ソリューション統合では、アカウントの追加 AWS を選択して、ポリシーでプリンシパルとして追加する各 AWS アカウント ID を指定します。

  15. [Next] (次へ) を選択して、選択内容を確認します。

  16. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  17. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

  18. チャネル Amazon リソースネーム (ARN) をパートナーアプリケーションに提供します。パートナーアプリケーションARNにチャンネルを提供する手順は、パートナードキュメントのウェブサイトに記載されています。詳細を参照するには、[Integrations] (統合) ページの [Available sources] (利用可能なソース) タブで、パートナーの [Learn more] (詳細はこちら) リンクを選択し AWS Marketplace内のパートナーページを開きます。

イベントデータストアは、ユーザー、パートナー、またはパートナーアプリケーションがチャネルPutAuditEventsAPIの を呼び出すと、統合のチャネル CloudTrail を介して へのパートナーイベントの取り込みを開始します。