翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
イベントデータストアを作成して の外部にイベントを含め AWS、 CloudTrail Lake を使用してアプリケーションからログに記録されたデータを検索、クエリ、分析できます。
CloudTrail Lake 統合を使用して、オンプレミスまたはクラウドでホストされている社内アプリケーションや SaaS AWSアプリケーション、仮想マシン、コンテナなど、ハイブリッド環境の任意のソースから、 の外部からユーザーアクティビティデータをログに記録して保存できます。
統合用としてイベントデータストアを作成する際は、同時にチャネルも作成し、そのチャネルにリソースポリシーをアタッチします。
CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake のコストの CloudTrail 価格設定と管理の詳細については、AWS CloudTrail 「 の
の外部でイベントのイベントデータストアを作成するには AWS
-
にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/
。 -
ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。
-
[Create event data store] (イベントデータストアの作成) をクリックします。
-
[Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。
-
イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail 料金表
」と「CloudTrail Lake のコスト管理」を参照してください。 以下のオプションが利用できます。
-
[1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日が経過すると、延長保持が料金で pay-as-you-go利用可能になります。これがデフォルトのオプションです。
-
デフォルトの保持期間: 366 日間
-
最長保持期間: 3,653 日間
-
-
[7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
-
デフォルトの保持期間: 2,557 日間
-
最長保持期間: 2,557 日間
-
-
-
イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。
CloudTrail Lake は、イベントの が指定された保持期間内であるかどうかを確認することで
eventTime、イベントを保持するかどうかを決定します。例えば、保持期間を 90 日に指定すると、 CloudTraileventTimeは 90 日を経過するとイベントを削除します。 -
(オプション) を使用して暗号化を有効にするには AWS Key Management Service、「自分のものを使用する AWS KMS key」を選択します。新規 を選択して AWS KMS key を作成するか、既存 を選択して既存のKMSキーを使用します。Enter KMS alias で、 形式でエイリアスを指定します
alias/MyAliasName。独自のKMSキーを使用するには、イベントデータストアを暗号化および復号できるようにKMSキーポリシーを編集する必要があります。詳細については、「」を参照してくださいCloudTrail の AWS KMS キーポリシーを設定する。 は AWS KMS マルチリージョンキー CloudTrail もサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。独自のKMSキーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。
注記
組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存のKMSキーを使用する必要があります。
-
(オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション] で [有効] を選択します。フェデレーションを使用すると、Data Catalog の AWS Glue イベントデータストアに関連付けられたメタデータを表示し、Athena のイベントデータに対してSQLクエリを実行できます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。
Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。
-
新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation はこのロールを使用して、フェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。
-
新しいロールを作成する場合は、そのロールを識別する名前を指定します。
-
既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
-
-
(オプション) リソースポリシーを有効にする を選択して、リソースベースのポリシーをイベントデータストアに追加します。リソースベースのポリシーを使用すると、イベントデータストアでアクションを実行できるプリンシパルを制御できます。例えば、他のアカウントのルートユーザーがこのイベントデータストアにクエリを実行し、クエリ結果を表示できるようにするリソースベースのポリシーを追加できます。エンドポイントポリシーの例については、イベントデータストアのリソースベースのポリシーの例を参照してください。
リソースベースのポリシーには、1 つ以上のステートメントが含まれます。ポリシーの各ステートメントは、イベントデータストアへのアクセスを許可または拒否するプリンシパルと、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
-
cloudtrail:StartQuery -
cloudtrail:CancelQuery -
cloudtrail:ListQueries -
cloudtrail:DescribeQuery -
cloudtrail:GetQueryResults -
cloudtrail:GenerateQuery -
cloudtrail:GenerateQueryResultsSummary -
cloudtrail:GetEventDataStore
組織のイベントデータストアの場合、 は、委任管理者アカウントが組織のイベントデータストアで実行できるアクションを一覧表示するデフォルトのリソースベースのポリシー CloudTrail を作成します。このポリシーのアクセス許可は、 の委任管理者アクセス許可から取得されます AWS Organizations。このポリシーは、組織イベントデータストアまたは組織への変更 ( CloudTrail 委任管理者アカウントの登録または削除など) 後に自動的に更新されます。
-
-
(オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については AWS、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。
-
[次へ] を選択して、イベントデータストアを設定します。
-
[Choose events] (イベントの選択) ページで、[Events from integrations] (統合からのイベント) を選択します。
-
[Events from integration] (統合からのイベント) から、イベントデータストアにイベントを配信するソースを選択します。
-
統合のチャネルを識別するための名前を指定します。名前には 3~128 の文字数が使用できます。使用できるのは文字、数字、ピリオド、アンダースコア、ダッシュのみです。
-
[Resource policy] (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。リソースポリシーは、指定されたプリンシパルがリソースに対して実行できるアクションと条件を指定するJSONポリシードキュメントです。リソースポリシーでプリンシパルとして定義されたアカウントは、 を呼び出し
PutAuditEventsAPIて、チャネルにイベントを配信できます。ポリシーでcloudtrail-data:PutAuditEventsアクションIAMが許可されている場合、リソース所有者はリソースへの暗黙的なアクセス権を持ちます。ポリシーに必要な情報は、統合タイプによって決まります。方向統合の場合、 はパートナーの AWS アカウント CloudTrail を自動的に追加しIDs、パートナーから提供された一意の外部 ID を入力する必要があります。ソリューション統合では、少なくとも 1 つの AWS アカウント ID をプリンシパルとして指定する必要があり、必要に応じて外部 ID を入力して混乱した代理を防ぐことができます。
注記
チャネルのリソースポリシーを作成しない場合、チャネル所有者のみがチャネル
PutAuditEventsAPIの を呼び出すことができます。-
直接統合の場合には、パートナーから提供された外部 ID を入力します。統合パートナーは、一意の外部 ID (アカウント ID やランダムに生成された文字列など) を統合のために提供し、混乱した代理問題を防ぎます。パートナーが一意の外部 ID の作成と提供を責任もって行います。
[How to find this?] (これを見つけるには?) を選択すると、外部 ID を検索する方法が記載された、パートナー提供のドキュメントを表示できます。
注記
リソースポリシーに外部 ID が含まれている場合、 へのすべての呼び出しに外部 ID が含まれている
PutAuditEventsAPI必要があります。ただし、ポリシーで外部 ID を定義しない場合でも、パートナーは を呼び出しPutAuditEventsAPIてexternalIdパラメータを指定できます。 -
ソリューション統合の場合は、アカウントの追加 AWS を選択して、ポリシーでプリンシパルとして追加する各 AWS アカウント ID を指定します。
-
-
[Next] (次へ) を選択して、選択内容を確認します。
-
[Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。
-
新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。
-
チャネルの Amazon リソースネーム (ARN) をパートナーアプリケーションに提供します。パートナーアプリケーションARNにチャネルを提供する手順は、パートナードキュメントウェブサイトにあります。詳細を参照するには、[Integrations] (統合) ページの [Available sources] (利用可能なソース) タブで、パートナーの [Learn more] (詳細はこちら) リンクを選択し AWS Marketplace内のパートナーページを開きます。
イベントデータストアは、ユーザー、パートナー、またはパートナーアプリケーションがチャネルPutAuditEventsAPIで を呼び出すと、統合のチャネル CloudTrail を介して へのパートナーイベントの取り込みを開始します。
