コンソールで CloudTrail パートナーとの統合を作成する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールで CloudTrail パートナーとの統合を作成する

外部でイベントソースとの統合を作成する場合 AWS、これらのパートナーのいずれかをイベントソースとして選択できます。パートナーアプリケーション CloudTrail と の統合を作成する場合、パートナーは、このワークフローで作成したチャネルの Amazon リソースネーム (ARN) を使用して にイベントを送信する必要があります CloudTrail。統合を作成した後は、パートナーからの指示に従い必要なチャネル ARN を提供することで、その統合の設定を完了します。統合は、パートナーが統合のチャネルPutAuditEventsで を呼び出す CloudTrail と、 へのパートナーイベントの取り込みを開始します。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

  2. ナビゲーションペインの [Lake] で、[統合] を選択します。

  3. [Add integration] (統合を追加) ページで、チャネルの名前を入力します。名前には 3~128 の文字数が使用できます。使用できるのは文字、数字、ピリオド、アンダースコア、ダッシュのみです。

  4. イベントの取得元である、パートナーアプリケーションソースを選択します。オンプレミスまたはクラウドでホストされている、独自のアプリケーションからのイベントと統合する場合は、[My custom integration] (カスタム統合) を選択します。

  5. [Event delivery location] (イベントの配信場所) で、既存のイベントデータストアで以前と同じアクティビティイベントのログ記録を行うか、新しいイベントデータストアを作成するかを選択します。

    イベントデータストアを新しく作成する場合には、イベントデータストアの名前を入力し、料金オプションを選択し、保持期間を日単位で指定します。イベントデータストアは指定された日数分、イベントデータを保存します。

    アクティビティイベントを、既存の (1 つ以上の) イベントデータストアにログ記録する場合は、対象となるイベントデータストアをリストから選択します。イベントデータストアに保存できるのは、アクティビティイベントのみです。コンソール内のイベントタイプは、[Events from integrations] (統合からのイベント) にする必要があります。API 内での eventCategory 値は ActivityAuditLog にする必要があります。

  6. [Resource policy] (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。リソースポリシーとは、JSON によるポリシードキュメントです。このドキュメントでは、指定したプリンシパルが対象のリソースにおいて実行できるアクションの種類と、その際の条件を指定します。リソースポリシーでプリンシパルとして定義されているアカウントは、PutAuditEvents API を呼び出してイベントをチャネルに配信することができます。IAM ポリシーで cloudtrail-data:PutAuditEvents アクションが許可されている場合、リソース所有者はリソースに暗黙的にアクセスできます。

    ポリシーに必要な情報は、統合タイプによって決まります。方向統合の場合、 はパートナーの AWS アカウント ID CloudTrail を自動的に追加し、パートナーから提供された一意の外部 ID を入力する必要があります。 IDs ソリューション統合では、少なくとも 1 つの AWS アカウント ID をプリンシパルとして指定する必要があり、必要に応じて外部 ID を入力して混乱した代理を防ぐことができます。

    注記

    チャネルのリソースポリシーを作成しない場合は、そのチャネルの所有者だけが、チャネル内で PutAuditEvents API を呼び出すことができます。

    1. 直接統合の場合には、パートナーから提供された外部 ID を入力します。統合パートナーは、一意の外部 ID (アカウント ID やランダムに生成された文字列など) を統合のために提供し、混乱した代理問題を防ぎます。パートナーが一意の外部 ID の作成と提供を責任もって行います。

      [How to find this?] (これを見つけるには?) を選択すると、外部 ID を検索する方法が記載された、パートナー提供のドキュメントを表示できます。

      外部 ID に関するパートナードキュメント
      注記

      リソースポリシーに外部 ID が含まれているのであれば、PutAuditEvents API に対するすべての呼び出しに、この外部 ID を含める必要があります。ただし、ポリシーで外部 ID が定義されていない場合でも、パートナーは、PutAuditEvents API を呼び出して externalId パラメータを指定することができます。

    2. ソリューション統合の場合は、アカウントの追加 AWS を選択して、ポリシーでプリンシパルとして追加する AWS アカウント ID を指定します。

  7. (オプション) [Tag] (タグ) エリアでは、イベントデータストアおよびチャネルへのアクセスを特定、ソート、および制御できるようにするタグのキーと値のペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。でタグを使用する方法の詳細については AWS、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

  8. 新しい統合を作成する準備ができたら、[Add integration] (統合を追加) を選択します。レビューページはありません。 は統合 CloudTrail を作成しますが、チャネル Amazon リソースネーム (ARN) をパートナーアプリケーションに提供する必要があります。チャネル ARN をパートナーアプリケーションに対し指定するための手順は、パートナードキュメントのウェブサイトで確認できます。詳細を参照するには、[Integrations] (統合) ページの [Available sources] (利用可能なソース) タブで、パートナーの [Learn more] (詳細はこちら) リンクを選択し AWS Marketplace内のパートナーページを開きます。

統合のセットアップを完了するために、パートナーまたはソースアプリケーションに対し、チャネルの ARN を指定します。統合のタイプに応じて、お客様、パートナー、またはアプリケーションが PutAuditEvents API を実行し、お客様の AWS アカウントにあるイベントデータストアに対し、アクティビティイベントを配信します。アクティビティイベントが配信されたら、 CloudTrail Lake を使用してアプリケーションからログに記録されたデータを検索、クエリ、分析できます。イベントデータには、、、 などのイベントペイロードに一致する CloudTrailフィールドが含まれますeventVersioneventSourceuserIdentity