コンソールを使用してイベントのイベントデータストア CloudTrailを作成する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用してイベントのイベントデータストア CloudTrailを作成する

イベントの CloudTrail イベントデータストアは、 CloudTrail 管理イベントとデータイベントをログに記録できます。イベントデータをイベントデータストアに保存できる期間は、[延長可能な 1 年間の保持料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保持料金] オプションを選択した場合は最大 2,557 日 (約 7 年) です。

CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake CloudTrail の料金設定とコスト管理については、「」を参照してください。 AWS CloudTrail 料金表 および CloudTrail Lake コストの管理

CloudTrail 管理イベントまたはデータイベント用のイベントデータストアを作成するには

この手順を使用して、 CloudTrail 管理イベント、データイベント、または管理イベントとデータイベントの両方をログに記録するイベントデータストアを作成します。

  1. にサインインする AWS Management Console で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「」を参照してくださいAWS CloudTrail 料金表 および CloudTrail Lake コストの管理

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日が経過すると、延長保持は pay-as-you-go 料金で利用できます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの が指定された保持期間内であるかどうかを確認することで、eventTimeイベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、 eventTimeは 90 日を経過するとイベント CloudTrail を削除します。

    注記

    このイベントデータストアに証跡イベントをコピーする場合、 eventTimeは指定された保持期間より古いイベントをコピー CloudTrail しません。適切な保持期間を決定するには、コピーする最も古いイベントの合計を日数で、イベントデータストアにイベントを保持する日数 (保持期間 = oldest-event-in-days + number-days-to-retain)。 例えば、コピーする最も古いイベントが 45 日経過していて、イベントデータストアにさらに 45 日間イベントを保持する場合は、保持期間を 90 日間に設定します。

  7. (オプション) を使用して暗号化を有効にするには AWS Key Management Serviceで、自分の を使用する を選択します。 AWS KMS key新規を選択して を持つ AWS KMS key が作成したか、既存のKMSキーを使用するには「既存」を選択します。KMS エイリアスを入力 で、 形式でエイリアスを指定します。 alias/MyAliasName。 独自のKMSキーを使用するには、KMSキーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいの AWS KMS キーポリシーを設定する CloudTrail。 CloudTrail もサポートしています。 AWS KMS マルチリージョンキー。マルチリージョンキーの詳細については、「」の「マルチリージョンキーの使用」を参照してください。 AWS Key Management Service デベロッパーガイド

    独自のKMSキーを使用すると、 AWS KMS 暗号化と復号のコスト。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。

    注記

    を有効にするには AWS Key Management Service 組織のイベントデータストアの 暗号化では、管理アカウントに既存のKMSキーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションでは、 のイベントデータストアに関連付けられたメタデータを表示できます。 AWS Glue データカタログを作成し、Athena のイベントデータに対してSQLクエリを実行します。に保存されているテーブルメタデータ AWS Glue Data Catalog を使用すると、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用して、フェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については、「」を参照してください。 AWS、「タグ付け」を参照してください。 AWSタグ付けの リソース AWS リソースユーザーガイド

  10. [次へ] を選択して、イベントデータストアを設定します。

  11. 「イベントの選択」ページで、「」を選択します。 AWS イベント を選択しCloudTrailイベント を選択します。

  12. CloudTrail イベント では、少なくとも 1 つのイベントタイプを選択します。[Management events] (管理イベント) がデフォルトで選択されています。イベントストアには、管理イベントとデータイベントの両方を追加できます。管理イベントの詳細については、「管理イベントのログ記録」を参照してください。データイベントの詳細については、「データイベントをログ記録する」を参照してください。

  13. (オプション) 既存のトレイルからイベントをコピーして過去のイベントに関するクエリを実行する場合は、[Copy trail events] (トレイルイベントのコピー) を選択します。証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。委任された管理者アカウントは、証跡イベントを組織のイベントデータストアにコピーできません。証跡イベントのコピーに関する考慮事項の詳細については、「証跡イベントのコピーに関する留意事項」を参照してください。

  14. イベントデータストアで のすべてのアカウントからイベントを収集するには AWS Organizations organization で、組織 内のすべてのアカウントに対して を有効にする を選択します。組織に関するイベントを収集するイベントデータストアを作成するには、その組織の管理アカウントまたは委任された管理者アカウントにサインインする必要があります。

    注記

    証跡イベントをコピーしたり Insights イベントを有効にしたりするには、組織の管理アカウントにサインインする必要があります。

  15. 追加設定を展開して、イベントデータストアですべての のイベントを収集するかどうかを選択します。 AWS リージョン、または現在の のみ AWS リージョン、イベントデータストアがイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。

    1. 現在のリージョンでログ記録されたイベントのみを含めるときは、[イベントデータストアに現在のリージョンのみを含める] を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。

    2. イベントデータストアでイベントの取り込みを開始したくないときは、[イベントを取り込む] の選択を解除します。例えば、証跡イベントをコピーしており、イベントデータストアに未来のイベントを含めたくないときは、[イベントを取り込む] の選択を解除するとよいでしょう。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。

  16. イベントデータストアに管理イベントが含まれている場合は、次のオプションを選択できます。管理イベントの詳細については、「管理イベントのログ記録」を参照してください。

    1. [読み取り] イベント、[書き込み]、またはその両方を含めるかどうかを選択します。少なくとも 1 つが必要です。

    2. 除外するかどうかを選択する AWS Key Management Service API イベントRDSデータストアからの または Amazon Data イベント。

    3. Insights を有効にするかどうかを選択します。Insights を有効にするには、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集する送信先イベントデータストアを設定する必要があります。

      Insights を有効にすることを選択した場合は、次の手順を実行します。

      1. [Insights を有効にする] で、Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。

      2. Insights タイプを選択します。API 通話レート APIエラーレート 、またはその両方を選択できます。API 通話レート の Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラー率 の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。

  17. イベントデータストアにデータイベントを含めるには、次の手順を実行します。

    1. データイベントタイプを選択します。これは AWS のサービス データイベントがログに記録される および リソース。のデータイベントをログに記録するには AWS Glue Lake Formation によって作成された テーブルで、データ型として Lake Formation を選択します。

    2. [Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのデータイベント、readOnly イベント、もしくは writeOnly イベントをログに記録することを選択、または [Custom] (カスタム) を選択してカスタムログセレクタを構築することができます。

    3. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名はアドバンストイベントセレクタNameに としてリストされ、JSONビュー を展開すると表示できます。

    4. [Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

      1. 次のフィールドから選択します。

        • readOnly - readOnly は、 trueまたは の値と等しくなるように設定できますfalse。読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

        • eventName - eventName は任意の演算子を使用できます。これを使用して、、、 など CloudTrail、 にログ記録されたデータイベントを含めたり除外PutBucketGetItemしたりできますGetSnapshotBlock

        • resources.ARN - 任意の演算子を で使用できますがresources.ARN等しい または等しくない場合、値はテンプレートで の値として指定したタイプのARN有効なリソースの と完全に一致する必要がありますresources.type

          次の表は、各 の有効なARN形式を示していますresources.type

          注記

          resources.ARN フィールドを使用して、 を持たないリソースタイプをフィルタリングすることはできませんARNs。

          resources.type リソース。ARN
          AWS::DynamoDB::Table1
          arn:partition:dynamodb:region:account_ID:table/table_name
          AWS::Lambda::Function
          arn:partition:lambda:region:account_ID:function:function_name

          AWS::S3::Object2

          arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
          AWS::AppConfig::Configuration
          arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
          AWS::B2BI::Transformer
          arn:partition:b2bi:region:account_ID:transformer/transformer_ID
          AWS::Bedrock::AgentAlias
          arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
          AWS::Bedrock::FlowAlias
          arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
          AWS::Bedrock::Guardrail
          arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
          AWS::Bedrock::KnowledgeBase
          arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
          AWS::Cassandra::Table
          arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
          AWS::CloudFront::KeyValueStore
          arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
          AWS::CloudTrail::Channel
          arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
          AWS::CodeWhisperer::Customization
          arn:partition:codewhisperer:region:account_ID:customization/customization_ID
          AWS::CodeWhisperer::Profile
          arn:partition:codewhisperer:region:account_ID:profile/profile_ID
          AWS::Cognito::IdentityPool
          arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
          AWS::DynamoDB::Stream
          arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
          AWS::EC2::Snapshot
          arn:partition:ec2:region::snapshot/snapshot_ID
          AWS::EMRWAL::Workspace
          arn:partition:emrwal:region:account_ID:workspace/workspace_name
          AWS::FinSpace::Environment
          arn:partition:finspace:region:account_ID:environment/environment_ID
          AWS::Glue::Table
          arn:partition:glue:region:account_ID:table/database_name/table_name
          AWS::GreengrassV2::ComponentVersion
          arn:partition:greengrass:region:account_ID:components/component_name
          AWS::GreengrassV2::Deployment
          arn:partition:greengrass:region:account_ID:deployments/deployment_ID
          AWS::GuardDuty::Detector
          arn:partition:guardduty:region:account_ID:detector/detector_ID
          AWS::IoT::Certificate
          arn:partition:iot:region:account_ID:cert/certificate_ID
          AWS::IoT::Thing
          arn:partition:iot:region:account_ID:thing/thing_ID
          AWS::IoTSiteWise::Asset
          arn:partition:iotsitewise:region:account_ID:asset/asset_ID
          AWS::IoTSiteWise::TimeSeries
          arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
          AWS::IoTTwinMaker::Entity
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
          AWS::IoTTwinMaker::Workspace
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
          AWS::KendraRanking::ExecutionPlan
          arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
          AWS::Kinesis::Stream
          arn:partition:kinesis:region:account_ID:stream/stream_name
          AWS::Kinesis::StreamConsumer
          arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
          AWS::KinesisVideo::Stream
          arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
          AWS::MachineLearning::MlModel
          arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
          AWS::ManagedBlockchain::Network
          arn:partition:managedblockchain:::networks/network_name
          AWS::ManagedBlockchain::Node
          arn:partition:managedblockchain:region:account_ID:nodes/node_ID
          AWS::MedicalImaging::Datastore
          arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
          AWS::NeptuneGraph::Graph
          arn:partition:neptune-graph:region:account_ID:graph/graph_ID
          AWS::One::UKey
          arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
          AWS::One::User
          arn:partition:one:region:account_ID:user/user_ID
          AWS::PaymentCryptography::Alias
          arn:partition:payment-cryptography:region:account_ID:alias/alias
          AWS::PaymentCryptography::Key
          arn:partition:payment-cryptography:region:account_ID:key/key_ID
          AWS::PCAConnectorAD::Connector
          arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
          AWS::PCAConnectorSCEP::Connector
          arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
          AWS::QApps:QApp
          arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
          AWS::QBusiness::Application
          arn:partition:qbusiness:region:account_ID:application/application_ID
          AWS::QBusiness::DataSource
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
          AWS::QBusiness::Index
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
          AWS::QBusiness::WebExperience
          arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
          AWS::RDS::DBCluster
          arn:partition:rds:region:account_ID:cluster/cluster_name
          AWS::RUM::AppMonitor
          arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

          AWS::S3::AccessPoint3

          arn:partition:s3:region:account_ID:accesspoint/access_point_name

          AWS::S3Express::Object

          arn:partition:s3express:region:account_ID:bucket/bucket_name
          AWS::S3ObjectLambda::AccessPoint
          arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
          AWS::S3Outposts::Object
          arn:partition:s3-outposts:region:account_ID:object_path
          AWS::SageMaker::Endpoint
          arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
          AWS::SageMaker::ExperimentTrialComponent
          arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
          AWS::SageMaker::FeatureGroup
          arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
          AWS::SCN::Instance
          arn:partition:scn:region:account_ID:instance/instance_ID
          AWS::ServiceDiscovery::Namespace
          arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
          AWS::ServiceDiscovery::Service
          arn:partition:servicediscovery:region:account_ID:service/service_ID
          AWS::SNS::PlatformEndpoint
          arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
          AWS::SNS::Topic
          arn:partition:sns:region:account_ID:topic_name
          AWS::SQS::Queue
          arn:partition:sqs:region:account_ID:queue_name
          AWS::SSM::ManagedNode

          は、次のいずれかの形式ARNである必要があります。

          • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

          • arn:partition:ec2:region:account_ID:instance/instance_ID

          AWS::SSMMessages::ControlChannel
          arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
          AWS::StepFunctions::StateMachine

          は、次のいずれかの形式ARNである必要があります。

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name

          AWS::SWF::Domain
          arn:partition:swf:region:account_ID:/domain/domain_name
          AWS::ThinClient::Device
          arn:partition:thinclient:region:account_ID:device/device_ID
          AWS::ThinClient::Environment
          arn:partition:thinclient:region:account_ID:environment/environment_ID
          AWS::Timestream::Database
          arn:partition:timestream:region:account_ID:database/database_name
          AWS::Timestream::Table
          arn:partition:timestream:region:account_ID:database/database_name/table/table_name
          AWS::VerifiedPermissions::PolicyStore
          arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

          1 ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するにはeventNameフィールドにフィルターを追加します。

          2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、 StartsWith演算子を使用し、一致する値ARNとしてバケットのみを含めます。末尾のスラッシュは意図的です。除外しないでください。

          3 S3 アクセスポイント内のすべてのオブジェクトのイベントをログに記録するには、アクセスポイント のみを使用しARN、オブジェクトパスを含めず、 StartsWithまたは NotStartsWith演算子を使用することをお勧めします。

        データイベントリソースのARN形式の詳細については、「」の「アクション、リソース、および条件キー」を参照してください。 AWS Identity and Access Management ユーザーガイド

      2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、2 つの S3 バケットのデータイベントをイベントデータストアに記録されたデータイベントから除外するには、 フィールドをリソースに設定します。ARN の演算子を で開始せず、S3 バケット に貼り付けるかARN、イベントをログに記録したくない S3 バケットを参照します。

        2 番目の S3 バケットを追加するには、+ 条件 を選択し、前の手順を繰り返し、 ARN に貼り付けるか、別のバケットを参照します。

        が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいがフィールドの複数の条件 CloudTrail を評価する方法

        注記

        イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタARNで を値と等しくするように指定しないでください。次に、 を別のセレクタで同じ値と等しくARNないように指定します。

    5. オプションで、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。

    6. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。データイベントタイプの高度なイベントセレクタを設定するには、ステップ からこのステップを繰り返します。

  18. イベントデータストアに既存の証跡イベントをコピーするには、次を実行します。

    1. コピーするトレイルを選択します。デフォルトでは、 は S3 バケットのCloudTrailプレフィックスとプレフィックス内のCloudTrailプレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他のプレフィックスはチェックしません。 AWS サービス。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、S3 を入力URI」を選択し、S3 を参照」を選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化にKMSキーを使用している場合は、KMSキーポリシーで がデータを復号 CloudTrail 化できることを確認してください。ソース S3 バケットが複数のKMSキーを使用している場合は、 がバケット内のデータを復 CloudTrail 号できるように、各キーのポリシーを更新する必要があります。KMS キーポリシーの更新の詳細については、「」を参照してくださいKMS ソース S3 バケット内のデータを復号するための キーポリシー

    2. イベントをコピーする時間範囲を選択します。 は、証跡イベントをコピーする前に、プレフィックスとログファイル名 CloudTrail をチェックして、名前に選択した開始日と終了日の間の日付が含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

      注記

      CloudTrail は、イベントデータストアの保持期間eventTime内の を持つ証跡イベントのみをコピーします。例えば、イベントデータストアの保持期間が 90 日の場合、 CloudTrail は 90 日よりeventTime古い の証跡イベントをコピーしません。

      • 相対範囲 を選択した場合は、過去 6 か月、1 年、2 年、7 年、またはカスタム範囲に記録されたイベントをコピーできます。 は、選択した期間内に記録されたイベント CloudTrail をコピーします。

      • 絶対範囲 を選択した場合、特定の開始日と終了日を選択できます。選択した開始日と終了日の間に発生したイベント CloudTrail をコピーします。

    3. アクセス許可 では、次のIAMロールオプションから選択します。既存のIAMロールを選択する場合は、IAMロールポリシーが必要なアクセス許可を付与していることを確認します。IAM ロールのアクセス許可の更新の詳細については、「」を参照してくださいIAM 証跡イベントをコピーするための アクセス許可

      • 新しいロールを作成するには、新しいロールの作成 (推奨) を選択します。 IAMIAM ロール名を入力 には、role の名前を入力します。 は、この新しいロールに必要なアクセス許可 CloudTrail を自動的に作成します。

      • カスタムIAMロールを使用 ARNを選択して、リストにないカスタムIAMロールを使用します。Enter IAM role に ARNと入力しますIAMARN。

      • ドロップダウンリストから既存のIAMロールを選択します。

  19. [Next] (次へ) を選択して、選択内容を確認します。

  20. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  21. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    これ以降、イベントデータストアは、高度なイベントセレクタに一致するイベントをキャプチャします ([イベントを取り込む] オプションを選択したままにしている場合)。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントをコピーすることを選択しない限り、イベントデータストアには保存されません。

これで、新しいイベントデータストアに対してクエリを実行できるようになりました。[Sample queries] (サンプルクエリ) タブは、使用を開始するためのサンプルクエリを提供します。クエリの作成と編集の詳細については、「 CloudTrail コンソールでクエリを作成または編集する」を参照してください。

CloudTrail Lake ダッシュボードを表示して、イベントデータストア内のイベントを視覚化することもできます。Lake ダッシュボードの詳細については、「 CloudTrail コンソールで CloudTrail Lake ダッシュボードを表示する」を参照してください。