CloudTrail の詳細 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail の詳細

CloudTrail はAWSアカウントを作成するときに、そのアカウントを作成します。アクティビティがAWSアカウントの場合、そのアクティビティは CloudTrail イベントに記録されます。CloudTrail コンソールで、イベント履歴

イベント履歴により、AWS アカウントの過去 90 日間のアクティビティを表示、検索、ダウンロードできます。さらに、CloudTrail 証跡を作成して、AWSリソースの使用料金を見積もることができます。証跡は、指定した Amazon S3 バケットへのイベントの配信を可能にする設定です。Amazon CloudWatch Logs および Amazon CloudWatch Events を使用して、証跡のイベントを配信および分析することもできます。CloudTrail コンソールを使用して、AWS CLI、または CloudTrail API のいずれかを使用します。

AWS アカウントの 2 種類の証跡を作成できます。

すべてのリージョンに適用される証跡

すべてのリージョンに適用される証跡を作成すると、CloudTrail は、各リージョンでイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。すべてのリージョンに適用される証跡を作成した後でリージョンを追加した場合、その新しいリージョンは自動的に含まれ、そのリージョンのイベントがログに記録されます。すべてのリージョンで証跡を作成することが推奨されるベストプラクティスであるため、アカウントのすべてのリージョンでアクティビティをキャプチャするため、CloudTrail コンソールで証跡を作成する場合、すべてのリージョンの証跡がデフォルトのオプションです。単一リージョンの証跡を更新して、すべてのリージョンのログを記録するには、AWS CLI。詳細については、「コンソールで証跡を作成する (基本的なイベントセレクタ)」を参照してください。

1 つのリージョンに適用される証跡

1 つのリージョンに適用される証跡を作成すると、CloudTrail はそのリージョンでのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが配信されます。単一リージョンの証跡は、AWS CLI。追加の単一の証跡を作成した場合、同じ Amazon S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、デフォルトのオプションです。AWS CLIまたは CloudTrail API を使用します。詳細については、「トレイルの作成、更新、管理AWS Command Line Interface」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

2019 年 4 月 12 日以降、証跡は、イベントをログに記録する AWS リージョンでのみ表示することができます。すべてのイベントを記録する証跡を作成した場合AWSリージョンは、すべてのAWSリージョン 単一のイベントのみをログ記録する証跡を作成した場合AWSリージョンは、そのでのみそれを表示および管理できますAWSリージョン。

AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントのすべてのイベントを記録する証跡も作成できます。これは、組織の証跡と呼ばれます。組織の証跡は、すべてのAWSリージョンまたは 1 つのリージョン 組織の証跡は、管理アカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにはアクセスできません。

証跡の作成後に、1 つのリージョンまたはすべてのリージョンでイベントを記録するかどうかを含めて、その設定を変更できます。単一リージョンのトレイルを全リージョンのトレイルに変更する、またはその逆に変更するには、AWS CLI update-trailコマンド。また、データまたは CloudTrail インサイトイベントのログを記録するかどうかも変更できます。証跡で 1 つのリージョンのイベントを記録するか、すべてのリージョンのイベントを記録するかの変更は、記録されるイベントに影響があります。詳細については、「」を参照してください。による軌跡の管理AWS CLI(AWS CLI)、CloudTrail ログファイルの操作

デフォルトでは Amazon S3 のサーバー側の暗号化(SSE)を使用して、CloudTrail イベントログファイルが暗号化されます。ログファイルを AWS Key Management Service (AWS KMS) キーで暗号化する選択もできます。 バケットにログファイルを任意の期間、保存することができます。Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。ログファイルの配信と確認に関する通知が必要な場合は、Amazon SNS 通知を設定できます。

CloudTrail は、ログファイルを 1 時間に複数回、約 5 分ごとに発行します。これらのログファイルには、CloudTrail をサポートするアカウントのサービスからの API 呼び出しが含まれています。詳細については、「CloudTrail のサポート対象サービスと統合」を参照してください。

注記

CloudTrail は、通常、API 呼び出しの平均 15 分以内にログを配信します。この時間は保証されません。「」を確認します。AWS CloudTrailサービスレベルアグリーメント (SLA)詳細については.

CloudTrail は、ユーザーまたはAWSサービス。たとえば、AWS CloudFormation CreateStack呼び出しは、必要に応じて Amazon EC2、Amazon RDS、Amazon EBS、またはその他のサービスへ追加の API 呼び出しが発生する場合があります。AWS CloudFormationテンプレートを選択します。この動作は正常であり、想定されています。アクションは、AWSサービスとinvokedbyフィールドに CloudTrail イベントを指定します。

CloudTrail の使用開始にあたっては、の使用開始AWS CloudTrailチュートリアル

CloudTrail の料金については、AWS CloudTrail料金。Amazon S3 および Amazon SNS の料金については、Amazon S3 の料金およびAmazon SNS の料金