CloudTrail の仕組み - AWS CloudTrail
イベント履歴CloudTrail Lake とイベントデータストアCloudTrail 証跡CloudTrail チャネル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail の仕組み

CloudTrail は、AWSアカウントの作成時にアクティブになります。AWS アカウントでアクティビティが発生すると、そのアクティビティは CloudTrail イベントに記録されます。イベント履歴 に移動して、過去 90 日間の記録された API アクティビティ (管理イベント) を CloudTrail コンソールAWS リージョンで表示できます。

AWS アカウント 内のイベントを継続的に記録するには、イベントデータストアを作成するか、証跡を作成してください。証跡は、 CloudTrail 管理、データ、Insights イベントのイベントをログに記録できます。イベントデータストアは、 CloudTrail 管理イベントとデータイベント、Insights CloudTrail イベント、AWS Config設定項目、AWS Audit Manager証拠 、および統合からの AWS以外のイベントをログに記録できます。

の使用を開始するには CloudTrail、「」を参照してくださいAWS CloudTrail チュートリアルを始める

CloudTrail 料金については、AWS CloudTrail「 の料金」を参照してください。Amazon S3 および Amazon SNS の料金については、「Amazon S3 の料金」および「Amazon SNS の料金」を参照してください。

イベント履歴

[イベント履歴] では、AWS リージョン で過去 90 日間に記録された 管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。イベント履歴ページに移動することで、 CloudTrail コンソールで管理イベントを簡単に表示できます。 aws cloudtrail lookup-events コマンド、または LookupEvents API 操作を実行してイベント履歴を表示することもできます。イベント履歴内のイベントは、単一の属性でイベントをフィルタリングすることによって検索できます。詳細については、「 CloudTrail イベント履歴の操作」を参照してください。

[イベント履歴] はアカウント内に存在する証跡やイベントデータストアには接続されておらず、証跡やイベントデータストアに加えた設定変更の影響も受けません。

CloudTrail Lake とイベントデータストア

CloudTrail Lake イベントデータストアを作成して、 AWSリソースの変更をアーカイブ、分析、応答できます。 CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC 形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いた、イベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。

イベントデータストアを作成して、 CloudTrail 管理イベントとデータイベント、Insights CloudTrail イベント、 AWS Config 設定項目、 AWS Audit Manager エビデンス、または AWS以外のイベントを収集できます。イベントデータストアはAWS CLI、 コンソール、、または CloudTrail API を使用して作成できます。コンソールを使用したイベントデータストアの作成方法に関する詳細は、「イベントデータストアを作成する」を参照してください。AWS CLI を使用したイベントデータストアの作成方法に関する詳細は、「AWS CLI を使用した CloudTrail Lake の管理」を参照してください。

CloudTrail Lake ではAWS、 外のアプリケーションからのイベントをログに記録できます。これには、 統合を作成して、オンプレミスまたはクラウドでホストされている社内アプリケーションや SaaS アプリケーション、仮想マシン、コンテナなど、ハイブリッド環境の任意のソースからのイベントも含まれます。ユーザーは、12 を超えるパートナーとの統合を作成して、AWS 外部で発生したイベントをイベントデータストアにログ記録できます。統合を作成するには、まずイベントが配信されるチャネルを設定します。 CloudTrail Lake を使用すると、複数のログアグリゲータやレポートツールを維持せずに、このデータに対して保存、アクセス、分析、トラブルシューティング、アクションを実行できます。

イベントデータストアは、現在の AWS リージョン、または AWS アカウント内のすべての AWS リージョン からのイベントをログに記録します。AWS 外部からの [統合] イベントのログ記録に使用するイベントデータストアは、シングルリージョン専用である必要があり、マルチリージョンのイベントデータストアには設定できません。

イベントデータストアを作成した後に変更するには、 update-event-data-store コマンドを実行するか、Lake コンソールを使用します CloudTrail。

AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントにおけるすべてのイベントをログに記録する組織のイベントデータストアを作成できます。組織のイベントデータストアを、すべての AWS リージョンまたは現在のリージョンに適用できます。組織のイベントデータストアは管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定した場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。デフォルトでは、メンバーアカウントは組織のイベントデータストアのログファイルにアクセスできず、組織のイベントデータストアに対してクエリを実行することもできません。組織のイベントデータストアを使用して、AWS 外からイベントを収集することはできません。詳細については、「組織のイベントデータストア」を参照してください。

CloudTrail Lake の使用を開始する方法の詳細については、AWS CloudTrail レイクとの協力このガイドの「」を参照してください。

CloudTrail 証跡

証 CloudTrail 跡を作成して、 AWSリソースの変更をアーカイブ、分析、対応することもできます。証跡は、 CloudTrail 管理イベント、データイベント、Insights イベントを記録できます。

証跡とは、指定した Amazon S3 バケットにイベントを配信できる設定のことです。Amazon CloudWatch Logs と Amazon を使用して、証跡のイベントを配信および分析することもできます EventBridge。証跡は、 CloudTrail コンソール、、AWS CLIまたは CloudTrail API を使用して作成できます。

AWS アカウントの 2 種類の証跡を作成できます。

すべてのリージョンに適用される証跡

すべてのリージョンに適用される証跡を作成すると、 は各リージョンのイベント CloudTrail を記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。すべてのリージョンに適用される証跡を作成した後でリージョンを追加した場合、その新しいリージョンは自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。 CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンです。AWS CLI を使用すると、単一のリージョンの証跡を更新し、すべてのリージョンをログに記録できます。詳細については、「コンソールで証跡を作成する」および「1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用」を参照してください。

1 つのリージョンに適用される証跡

1 つのリージョンに適用される証跡を作成すると、 はそのリージョンのイベントのみ CloudTrail を記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルを配信します。AWS CLI を使用する際は、単一のリージョンの証跡のみを作成することができます。追加の単一の証跡を作成する場合は、それらの証跡で CloudTrail イベントログファイルを同じ Amazon S3 バケットまたは個別のバケットに配信できます。これは、 AWS CLIまたは CloudTrail API を使用して証跡を作成する場合のデフォルトのオプションです。詳細については、「による証跡の作成、更新、管理 AWS Command Line Interface」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

2019 年 4 月 12 日以降、証跡は、イベントをログに記録する AWS リージョンでのみ表示することができます。すべての AWS リージョンのイベントをログに記録する証跡を作成すると、すべての AWS リージョンのコンソールに表示されます。単一の AWS リージョン内のイベントのみをログ記録する証跡を作成した場合は、その AWS リージョン内でのみ、それを表示および管理できます。

AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントにおけるすべてのイベントをログに記録する組織の証跡を作成できます。組織の証跡は、すべての AWS リージョンまたは現在のリージョンに適用できます。組織の証跡は管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにアクセスできません。

証跡の作成後に、1 つのリージョンまたはすべてのリージョンでイベントを記録するかどうかを含めて、設定を変更できます。単一リージョンの証跡を全リージョンの証跡に変更する、またはその逆に変更するには、AWS CLI update-trail コマンドを実行します。データイベントと CloudTrail Insights イベントのどちらをログに記録するかを変更することもできます。証跡で 1 つのリージョンのイベントを記録するか、すべてのリージョンのイベントを記録するかの変更により、記録されるイベントに影響があります。詳細については、「によるトレイルの管理 AWS CLI」(AWS CLI) および「CloudTrail ログファイルの使用」を参照してください。

デフォルトでは、証跡からの CloudTrail イベントログファイルは Amazon S3 サーバー側の暗号化 (SSE) を使用して暗号化されます。ログファイルを AWS Key Management Service (AWS KMS) キーで暗号化する選択もできます。 バケットにログファイルを任意の期間、保存することができます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。ログファイルの配信と確認に関する通知が必要な場合は、Amazon SNS 通知を設定できます。

CloudTrail は、ログファイルを 1 時間に複数回、約 5 分ごとに発行します。これらのログファイルには、 CloudTrail をサポートするアカウントのサービスからの API コールが含まれています。詳細については、「CloudTrail サポート対象のサービスとインテグレーション」を参照してください。

注記

CloudTrail は通常、API コールから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「AWS CloudTrail サービスレベルアグリーメント」をご覧ください。

証跡の設定を間違えると (例えば、S3 バケットにアクセスできない場合)、 は S3 バケットへのログファイルの再配信を 30 日間 CloudTrail 試み、これらの attempted-to-deliver イベントには標準 CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。

CloudTrail は、ユーザーによって直接、または AWSサービスによってユーザーに代わって行われたアクションをキャプチャします。例えば、AWS CloudFormation CreateStack コールは、AWS CloudFormation テンプレートの必要に応じて Amazon EC2、Amazon RDS、Amazon EBS またはその他のサービスへ追加の API コールが発生する場合があります。この動作は正常であり、想定されています。 CloudTrail イベント内の invokedbyフィールドを使用して、 AWSサービスによってアクションが実行されたかどうかを確認できます。

CloudTrail チャネル

CloudTrail では、次の 2 種類のチャネルがサポートされています。

CloudTrail Lake と の外部のイベントソースとの統合のチャネル AWS

CloudTrail Lake はチャネルを使用して、 AWSと連携する外部パートナー、または独自のソースから CloudTrail以外のイベントを CloudTrail Lake に取り込みます。チャネルを作成するときは、チャネルソースから送信されるイベントを保存するイベントデータストアを 1 つまたは複数選択します。送信先イベントデータストアがアクティビティイベントをログ記録するように設定している間は、必要に応じてチャネルの送信先イベントデータストアを変更できます。外部パートナーからのイベント用のチャネルを作成するときは、パートナーまたはソースアプリケーションにチャネル ARN を提供します。チャネルにアタッチされたリソースポリシーにより、ソースはチャネルを介してイベントを送信できます。詳細については、「AWS CloudTrail API リファレンス」の「AWS 外のイベントソースとの統合を作成する」および「CreateChannel」を参照してください。

サービスにリンクされたチャネル

AWS のサービスは、ユーザーに代わって CloudTrail イベントを受信するサービスにリンクされたチャネルを作成できます。サービスにリンクされたチャネルを作成する AWS サービスは、チャネルの高度なイベントセレクタを設定し、チャネルをすべてのリージョンに適用するか、単一のリージョンに適用するかを指定します。

CloudTrail コンソールまたは を使用してAWS CLI、 によって作成された CloudTrail サービスにリンクされたチャネルに関する情報を表示できますAWS のサービス。