CloudTrail の仕組み - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail の仕組み

CloudTrail は、作成時に AWS アカウントで有効になります。AWS アカウントでアクティビティが発生した場合、そのアクティビティは CloudTrail イベントに記録されます。CloudTrail コンソールで、[イベント履歴

イベント履歴により、AWS アカウントで過去 90 日間のアクティビティを表示、検索、ダウンロードできます。さらに、CloudTrail を作成して、AWS リソースの変更をアーカイブ、分析、応答できます。証跡は、指定した Amazon S3 バケットへのイベントの配信を可能にする設定です。Amazon CloudWatch Logs および Amazon CloudWatch Events を使用して、証跡のイベントを配信および分析することもできます。証跡は、CloudTrail コンソール、AWS CLI、または CloudTrail API を使用して作成できます。

AWS アカウントの 2 種類の証跡を作成できます。

すべてのリージョンに適用される証跡

すべてのリージョンに適用される証跡を作成すると、CloudTrail は、各リージョンでイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。すべてのリージョンに適用される証跡を作成した後でリージョンを追加した場合、その新しいリージョンは自動的に含まれ、そのリージョンのイベントがログに記録されます。すべてのリージョンで証跡を作成することが推奨されるベストプラクティスであるため、アカウントのすべてのリージョンでアクティビティをキャプチャするため、CloudTrail コンソールで証跡を作成する場合、すべてのリージョンの証跡がデフォルトのオプションです。AWS CLI を使用してすべてのリージョンをログに記録するには、単一リージョンの証跡のみを更新できます。詳細については、「コンソールで証跡を作成する (基本的なイベントセレクタ)」を参照してください。

1 つのリージョンに適用される証跡

1 つのリージョンに適用される証跡を作成すると、CloudTrail はそのリージョンでのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが配信されます。AWS CLI を使用して作成できるのは、単一リージョンの証跡のみです。追加の単一の証跡を作成した場合、同じ Amazon S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「AWS コマンドラインインターフェイスによる証跡の作成、更新、管理」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

2019 年 4 月 12 日以降、証跡は、イベントをログに記録する AWS リージョンでのみ表示することができます。すべての AWS リージョンのイベントをログに記録する証跡を作成すると、すべての AWS リージョンのコンソールに表示されます。単一の AWS リージョン内のイベントのみをログ記録する証跡を作成した場合は、その AWS リージョン内でのみ、それを表示および管理できます。

AWS Organizations Organization で組織を作成した場合は、その組織のすべての AWS アカウントのすべてのイベントを記録する証跡も作成できます。これは、組織の証跡と呼ばれます。組織の証跡は、すべての AWS リージョンまたは 1 つのリージョンに適用できます。組織の証跡は、管理アカウントで作成する必要があり、組織への適用として指定されている場合は、自動的に組織内のすべてのメンバーアカウントに適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織証跡のログファイルにはアクセスできません。

証跡の作成後に、1 つのリージョンまたはすべてのリージョンでイベントを記録するかどうかを含めて、その設定を変更できます。単一リージョンの証跡を全リージョンの証跡に変更する、またはその逆に変更するには、AWS CLIupdate-trailコマンド。また、データまたは CloudTrail インサイトイベントをログに記録するかどうかも変更できます。証跡で 1 つのリージョンのイベントを記録するか、すべてのリージョンのイベントを記録するかの変更は、記録されるイベントに影響があります。詳細については、「」を参照してください。AWS CLI による証跡の管理(AWS CLI)、およびCloudTrail ログファイルの操作

デフォルトでは、CloudTrail イベントログファイルは Amazon S3 のサーバー側の暗号化 (SSE) を使用して暗号化されます。ログファイルを AWS Key Management Service (AWS KMS) キーで暗号化する選択もできます。 バケットにログファイルを任意の期間、保存することができます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。ログファイルの配信と確認に関する通知が必要な場合は、Amazon SNS 通知を設定できます。

CloudTrail は、ログファイルを 1 時間に複数回、約 5 分ごとに発行します。これらのログファイルには、CloudTrail をサポートするアカウントのサービスからの API 呼び出しが含まれています。詳細については、「CloudTrail のサポート対象サービスと統合」を参照してください。

注記

CloudTrail は、通常、API 呼び出しの平均 15 分以内にログを配信します。この時間は保証されません。「」を確認します。AWS CloudTrail のサービスレベルアグリーメント詳細については.

CloudTrail は、ユーザーまたは AWS のサービスによりユーザーに代わって直接行われたアクションをキャプチャします。たとえば、AWS CloudFormation はCreateStack呼び出しは、AWS CloudFormation テンプレートの必要に応じて Amazon EC2、Amazon RDS、Amazon RDS、Amazon EBS、またはその他のサービスへ追加の API 呼び出しが発生する場合があります。この動作は正常であり、想定されています。AWS のサービスによってアクションが行われたかどうかを確認するには、invokedbyフィールドに CloudTrail イベントが表示されます。

CloudTrail の使用開始にあたっては、AWS CloudTrail の使用を開始する方法を説明します。

CloudTrail の料金については、AWS CloudTrail の料金表。Amazon S3 および Amazon SNS の料金については、「」を参照してください。Amazon S3 の料金およびAmazon SNS の料金