コンソールを使用して設定項目のイベントデータストアを作成する - AWS CloudTrail
制限事項前提条件設定項目用に一意のイベントデータストアを作成するには設定項目のスキーマ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用して設定項目のイベントデータストアを作成する

含めるイベントデータストアを作成できます。 AWS Config 設定項目 、および イベントデータストアを使用して、本番環境への非準拠の変更を調査します。イベントデータストアを使用すると、準拠していないルールが、その変更に関連付けられているユーザーおよびリソースと関連するようにできます。設定項目は、サポートされている の属性の point-in-time ビューを表します。 AWS アカウントに存在する リソース。 AWS Config は、記録するリソースタイプへの変更を検出するたびに設定項目を作成します。 AWS Config は、設定スナップショットがキャプチャされると、設定項目も作成します。

両方を使用できます。 AWS Config および CloudTrail Lake は、設定項目に対してクエリを実行します。以下を使用できます..。 AWS Config の現在の設定状態をクエリするには AWS 1 つの の設定プロパティに基づく リソース AWS アカウント また、 AWS リージョン、または複数のアカウントとリージョンにまたがる 。これとは対照的に、 CloudTrail Lake を使用して、 CloudTrail イベント、設定項目、ルール評価など、さまざまなデータソースにまたがるクエリを実行できます。 CloudTrail Lake クエリは、すべての をカバーします。 AWS Config リソース設定やコンプライアンス履歴などの 設定項目。

設定項目のイベントデータストアを作成しても、既存の には影響しません。 AWS Config アドバンストクエリ、または設定済み AWS Config アグリゲータ。を使用して高度なクエリを引き続き実行できます。 AWS Configおよび AWS Config は S3 バケットに履歴ファイルを配信し続けます。

CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake CloudTrail の料金設定とコスト管理の詳細については、「」を参照してください。 AWS CloudTrail 料金表 および CloudTrail Lake コストの管理

制限事項

設定項目のイベントデータストアには、次の制限が適用されます。

  • カスタム設定項目のためのサポートはありません

  • 高度なイベントセレクタを使用したイベントフィルタリングのためのサポートはありません

前提条件

イベントデータストアを作成する前に、 AWS Config すべてのアカウントとリージョンの の記録。の一機能である高速セットアップ を使用できます。 AWS Systems Manager、 を使用して設定レコーダーをすばやく作成 AWS Config.

注記

サービス使用料は、 AWS Config は設定の記録を開始します。料金の詳細については、「」を参照してください。 AWS Config 料金 設定レコーダーの管理については、「」の「設定レコーダーの管理」を参照してください。 AWS Config デベロッパーガイド

また、次のアクションも推奨されますが、イベントデータストアの作成には必須ではありません。

  • 設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。スナップショットの詳細については、「」の「配信チャネルの管理」およびAmazon S3バケットへの設定スナップショットの配信」を参照してください。 AWS Config デベロッパーガイド

  • 必要なルールを指定する AWS Config は、記録されたリソースタイプのコンプライアンス情報を評価するために使用します。の CloudTrail Lake サンプルクエリのいくつか AWS Config require AWS Config ルール を使用して、 のコンプライアンス状態を評価します。 AWS リソースの使用料金を見積もることができます。の詳細については、「」を参照してください。 AWS Config ルール、「 によるリソースの評価」を参照してください。 AWS Config ルール ()AWS Config デベロッパーガイド

設定項目用に一意のイベントデータストアを作成するには

  1. にサインインする AWS Management Console で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「」を参照してくださいAWS CloudTrail 料金表 および CloudTrail Lake コストの管理

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日が経過すると、延長保持は pay-as-you-go 料金で利用できます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの が指定された保持期間内であるかどうかをチェックして、eventTimeイベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、 eventTimeは 90 日を経過するとイベント CloudTrail を削除します。

  7. (オプション) を使用して暗号化を有効にするには AWS Key Management Serviceで、自分の を使用する を選択します。 AWS KMS key新規を選択して を持つ AWS KMS key 自分で作成したか、既存のKMSキーを使用するには「既存」を選択します。Enter KMS alias で、エイリアスを 形式で指定します。 alias/MyAliasName。 独自のKMSキーを使用するには、KMSキーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいの AWS KMS キーポリシーを設定する CloudTrail。 CloudTrail もサポートしています。 AWS KMS マルチリージョンキー。マルチリージョンキーの詳細については、「」の「マルチリージョンキーの使用」を参照してください。 AWS Key Management Service デベロッパーガイド

    独自のKMSキーを使用すると、 AWS KMS 暗号化と復号化のコスト。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。

    注記

    を有効にするには AWS Key Management Service 組織のイベントデータストアの 暗号化では、管理アカウントに既存のKMSキーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションでは、 のイベントデータストアに関連付けられたメタデータを表示できます。 AWS Glue データカタログを作成し、Athena のイベントデータに対してSQLクエリを実行します。に保存されているテーブルメタデータ AWS Glue Data Catalog を使用すると、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用して、フェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については、「」を参照してください。 AWS、「 のタグ付け」を参照してください。 AWSタグ付けの リソース AWS リソースユーザーガイド

  10. [Next (次へ)] を選択します。

  11. 「イベントの選択」ページで、「」を選択します。 AWS イベント を選択し設定項目 を選択します。

  12. CloudTrail は、イベントデータストアリソースを作成したリージョンに保存しますが、デフォルトでは、データストアで収集された設定項目は、記録が有効になっているアカウント内のすべてのリージョンからのものです。必要に応じて、[Include only the current region in my event data store] (現在のリージョンのみをイベントデータストアに含める) を選択して、現在のリージョンでキャプチャされた設定項目のみを含めることができます。このオプションを選択しない場合、イベントデータストアには、記録が有効になっているすべてのリージョンからの設定項目が含まれます。

  13. イベントデータストアで のすべてのアカウントから設定項目を収集するには AWS Organizations organization で、組織 内のすべてのアカウントに対して を有効にする を選択します。組織の設定項目を収集するイベントデータストアを作成するには、組織の管理アカウントまたは委任された管理者アカウントにサインインする必要があります。

  14. [Next] (次へ) を選択して、選択内容を確認します。

  15. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  16. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    この時点以降、イベントデータストアは設定項目を取得します。イベントデータストアを作成する前に発生した設定項目は、イベントデータストア内にありません。

サンプルクエリ

これで、新しいイベントデータストアに対してクエリを実行できるようになりました。 CloudTrail コンソールのサンプルクエリタブには、使用を開始するためのサンプルクエリが表示されます。設定項目のイベントデータストアに対して実行できるいくつかのサンプルクエリを次に示します。

説明 Query
設定項目のイベントデータストアをイベントデータストアに結合して、非準拠ステータスになったアクションを実行したユーザー CloudTrail を検索します。 
SELECT
    element_at(config1.eventData.configuration, 'targetResourceId') as targetResourceId,
    element_at(config1.eventData.configuration, 'complianceType') as complianceType,
    config2.eventData.resourceType, cloudtrail.userIdentity
FROM
    config_event_data_store_ID  as config1
JOIN
    config_event_data_store_ID  as config2 on element_at(config1.eventData.configuration, 'targetResourceId') = config2.eventData.resourceId
JOIN
    cloudtrail_event_data_store_ID  as cloudtrail on config2.eventData.arn = element_at(cloudtrail.resources, 1).arn
WHERE
    element_at(config1.eventData.configuration, 'configRuleList') is not null
AND 
    element_at(config1.eventData.configuration, 'complianceType') = 'NON_COMPLIANT'
AND 
    cloudtrail.eventTime > '2022-11-14 00:00:00'
AND 
    config2.eventData.resourceType = 'AWS::DynamoDB::Table'
すべて検索 AWS Config および は、過去 1 日以内に生成された設定項目からコンプライアンス状態を返します。 
SELECT 
    eventData.configuration, eventData.accountId, eventData.awsRegion, 
    eventData.resourceName, eventData.resourceCreationTime, 
    element_at(eventData.configuration,'complianceType') AS complianceType, 
    element_at(eventData.configuration, 'configRuleList') AS configRuleList, 
    element_at(eventData.configuration, 'resourceId') AS resourceId, 
    element_at(eventData.configuration, 'resourceType') AS resourceType 
FROM 
    config_event_data_store_ID 
WHERE 
    eventData.resourceType = 'AWS::Config::ResourceCompliance' 
AND 
    eventTime > '2022-11-22 00:00:00' 
ORDER BY 
    eventData.resourceCreationTime 
DESC 
    limit 10
の合計数を検索する AWS Config リソースタイプ、アカウント ID、リージョン別にグループ化された リソース。 
SELECT 
    eventData.resourceType, eventData.awsRegion, eventData.accountId, 
COUNT (*) AS resourceCount 
FROM 
    config_event_data_store_ID 
WHERE 
    eventTime > '2022-11-22 00:00:00' 
GROUP BY 
    eventData.resourceType, eventData.awsRegion, eventData.accountId
すべての のリソース作成時間を検索する AWS Config 特定の日付に生成された 設定項目。 
SELECT
    eventData.configuration, eventData.accountId, 
    eventData.awsRegion, eventData.resourceId, 
    eventData.resourceName, eventData.resourceType, 
    eventData.availabilityZone, eventData.resourceCreationTime
FROM 
    config_event_data_store_ID
WHERE 
    eventTime > '2022-11-16 00:00:00' 
AND 
    eventTime < '2022-11-17 00:00:00'  
ORDER BY 
    eventData.resourceCreationTime
DESC 
    limit 10;

クエリの作成と編集の詳細については、「 CloudTrail コンソールでクエリを作成または編集する」を参照してください。

設定項目のスキーマ

次の表は、設定項目レコードのスキーマ要素と一致する必須およびオプションのスキーマ要素を示しています。の内容eventDataは設定項目によって提供され、他のフィールドは取り込み CloudTrail 後に によって提供されます。

CloudTrail イベントレコードの内容の詳細については、「」を参照してくださいCloudTrail レコードの内容

取り込み CloudTrail 後に によって提供されるフィールド
フィールド名 入力タイプ 要件 説明
eventVersion string 必須

のバージョン AWS イベント形式。
eventCategory string 必須

イベントカテゴリ。設定項目では、有効な値は ConfigurationItem です。
eventType string 必須

イベントタイプです。設定項目では、有効な値は AwsConfigurationItem です。
eventID string 必須

イベントの一意の ID。
eventTime

string

 必須

yyyy-MM-DDTHH:mm:ss 形式のイベントタイムスタンプ。協定世界時 (UTC)。
awsRegion string 必須

- AWS リージョン イベントを割り当てる先。
recipientAccountId string 必須

を表します。 AWS アカウント このイベントを受信した ID。
addendum

補遺

 オプションです。

イベントが遅延した理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺ブロックには、不足している情報と、不足している理由が表示されます。
eventData のフィールドは、設定項目によって提供されます
フィールド名 入力タイプ 要件 説明
eventData

-

 必須 のフィールド eventData は、設定項目によって提供されます。

  • configurationItemVersion

 string オプションです。

ソースからの設定項目のバージョン。

  • configurationItemCapture時間

 string オプションです。

設定の記録が開始された時刻。

  • configurationItemStatus

 string オプションです。

設定項目のステータス。有効な値は、OKResourceDiscoveredResourceNotRecorded ResourceDeletedResourceDeletedNotRecorded です。

  • accountId

 string オプションです。

12 桁 AWS アカウント リソースに関連付けられた ID。

  • resourceType

 string オプションです。

のタイプ AWS リソース。有効なリソースタイプの詳細については、ConfigurationItem「」の「」を参照してください。 AWS Config API リファレンス

  • resourceId

 string オプションです。

リソースの ID (例: sg-xxxxxx).

  • resourceName

 string オプションです。

リソースのカスタム名 (使用可能な場合)。

  • arn

 string オプションです。

リソースに関連付けられた Amazon リソースネーム (ARN)。

  • awsRegion

string

 オプションです。

- AWS リージョン リソースが存在する場所。

  • availabilityZone

string

 オプションです。

リソースに関連付けられたアベイラビリティーゾーン。

  • resourceCreationTime

string

 オプションです。

リソースが作成されたときのタイムスタンプ。

  • 設定

JSON

 オプションです。

リソースの設定の説明。

  • supplementaryConfiguration

JSON

 オプションです。

の設定属性 AWS Config は、特定のリソースタイプに対して を返し、設定パラメータに対して返される情報を補足します。

  • relatedEvents

string

 オプションです。

CloudTrail イベント のリストIDs。

  • 関係

 - オプションです。

関連する のリスト AWS リソースの使用料金を見積もることができます。

    • name

string

 オプションです。

関連リソースとの関係のタイプ。

    • resourceType

string

 オプションです。

関連リソースのリソースタイプ。

    • resourceId

string

 オプションです。

関連リソースの ID (例: sg-xxxxxx).

    • resourceName

string

 オプションです。

関連リソースのカスタム名 (使用可能な場合)。

  • タグ

JSON

 オプションです。

リソースに関連付けられているキーバリュータグのマッピング。

次の例は、設定項目レコードのスキーマ要素の階層に一致する、スキーマ要素の階層を示しています。

{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}