AWS CloudTrail
ユーザーガイド (Version 1.0)

CloudTrail の詳細

CloudTrail は、AWS アカウント作成時に有効になります。AWS アカウントでアクティビティが発生した場合、そのアクティビティは CloudTrail イベントに記録されます。CloudTrail コンソールで、[イベント履歴] に移動して簡単にイベントを表示できます。

イベント履歴により、AWS アカウントの過去 90 日間のアクティビティを表示、検索、ダウンロードできます。さらに、CloudTrail 証跡を作成して、AWS リソースの変更をアーカイブ、分析、応答できます。証跡は、指定した Amazon S3 バケットへのイベントの配信を可能にする設定です。Amazon CloudWatch Logs および Amazon CloudWatch Events を使用して、証跡のイベントを配信および分析することもできます。CloudTrail コンソール、AWS CLI、または CloudTrail API を使用して、証跡を作成することができます。

AWS アカウントの 2 種類の証跡を作成できます。

すべてのリージョンに適用される証跡

すべてのリージョンに適用される証跡を作成すると、CloudTrail は、各リージョンでイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。すべてのリージョンに適用される証跡を作成した後でリージョンを追加した場合、その新しいリージョンは自動的に含まれ、そのリージョンのイベントがログに記録されます。これは、CloudTrail コンソールで証跡を作成するときのデフォルトのオプションです。詳細については、「コンソールで証跡を作成する」を参照してください。

1 つのリージョンに適用される証跡

1 つのリージョンに適用される証跡を作成するときに、CloudTrail はそのリージョンでのみイベントを記録します。次に、指定する Amazon S3 バケットに CloudTrail イベントファイルログが配信されます。追加の単一の証跡を作成した場合、同じ Amazon S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「AWS Command Line Interface での証跡の作成と更新」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

2019 年 4 月 12 日以降、証跡は、イベントをログに記録する AWS リージョンでのみ表示することができます。すべての AWS リージョンのイベントをログに記録する証跡を作成すると、すべての AWS リージョンのコンソールに表示されます。単一の AWS リージョン内のイベントのみをログ記録する証跡を作成した場合は、その AWS リージョン内でのみ、それを表示および管理できます。

AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントのすべてのイベントを記録する証跡も作成できます。これは、組織の証跡と呼ばれます。組織の証跡は、すべての AWS リージョンまたは 1 つのリージョンに適用できます。組織の証跡はマスターアカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにはアクセスできません。

証跡の作成後に、1 つのリージョンまたはすべてのリージョンでイベントを記録するかどうかを含めて、その設定を変更できます。また、データイベントをログに記録するかどうかを変更することもできます。証跡で 1 つのリージョンのイベントを記録するか、すべてのリージョンのイベントを記録するかの変更は、記録されるイベントに影響があります。詳細については、「証跡の更新」(コンソール)、「証跡の管理」(AWS CLI)、および「証跡のデータイベントと管理イベントのログ記録」を参照してください。

デフォルトでは Amazon S3 のサーバー側の暗号化 (SSE) を使用して、CloudTrail イベントログファイルが暗号化されます。ログファイルを AWS Key Management Service (AWS KMS) キーで暗号化する選択もできます。ログファイルは任意の期間にわたってバケットに保存できます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。ログファイルの配信と確認に関する通知が必要な場合は、Amazon SNS 通知を設定できます。

CloudTrail は、通常、アカウントアクティビティ 15 分以内にログファイルを配信します。また、CloudTrail は、ログファイルを 1 時間に複数回、約 5 分ごとに発行します。これらのログファイルには、CloudTrail をサポートするアカウントのサービスからの API コールが含まれています。詳細については、「CloudTrail サポートされるサービスと統合」を参照してください。

注記

CloudTrail は、ユーザーまたは AWS のサービスによりユーザーに代わって直接行われたアクションをキャプチャします。たとえば、AWS CloudFormation CreateStack 呼び出しは、AWS CloudFormation テンプレートの必要に応じて Amazon EC2、Amazon RDS、Amazon EBS またはその他のサービスへ追加の API コールが発生する場合があります。この動作は正常であり、想定されています。CloudTrail イベントの invokedby フィールドを使用して、AWS のサービスによってアクションが行われたかどうかを確認できます。

CloudTrail のご利用開始にあたっては、「CloudTrail の使用開始」を参照してください。

CloudTrail の料金については、「AWS CloudTrail 料金表」を参照してください。Amazon S3 と Amazon SNS の料金の詳細については、「Amazon S3 料金表」および「Amazon SNS 料金表」を参照してください。