イベントデータストアを作成する - AWS CloudTrail

イベントデータストアを作成する

CloudTrail Lake の使用を開始するには、イベントデータストアを作成します。イベントデータは、イベントデータストアに最大 7 年間 (2555 日) 保持できます。デフォルトで、イベントデータは 2555 日間保持され、イベントデータストアには終了保護が有効化されています。

  1. CloudTrail コンソールの左側にあるナビゲーションペインで [Lake] (レイク) をクリックします。

  2. [Lake] (レイク) ページで、[Event data stores] (イベントデータストア) タブを開きます。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアの保存期間を日数単位で指定します。有効な値は 7 から 2555 (7 年) の整数です。イベントデータストアは指定された日数分、イベントデータを保存します。

  6. CloudTrail は、イベントデータストアリソースをリソースが作成されたリージョンに保存しますが、デフォルトでは、データストア内の収集されたイベントはアカウント内のすべてのリージョンから集められています。オプションで、[Include only the current region in my event data store] (イベントデータストアに現在のリージョンのみを含める) を選択して、現在のリージョンでログに記録されたイベントのみを含めることができます。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。[Next] を選択します。

  7. イベントデータストアが AWS Organizations 内のすべてのアカウントからのイベントを収集するようにするには、[Enable for all accounts in my organization] (組織内のすべてのアカウントについて有効化) を選択します。組織に関するイベントを収集するイベントデータストアを作成するには、その組織の管理アカウントにサインインする必要があります。

  8. (オプション) [Tag] (タグ) エリアでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグのキーと値のペアを、最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。AWS でタグを使用する方法の詳細については、「AWS 全般のリファレンス」の「AWS リソースのタグ付け」を参照してください。

  9. [Choose events] (イベントの選択) ページで、少なくとも 1 つのイベントタイプを選択します。[Management events] (管理イベント) がデフォルトで選択されています。イベントストアには、管理イベントとデータイベントの両方を追加できます。管理イベントの詳細については、「証跡での管理イベントの記録」を参照してください。データイベントの詳細については、「証跡のデータイベントの記録」を参照してください。

  10. (オプション) 既存のトレイルからイベントをコピーして過去のイベントに関するクエリを実行する場合は、[Copy trail events] (トレイルイベントのコピー) を選択します。証跡イベントのコピーに関する考慮事項の詳細については、「考慮事項」を参照してください。

    1. コピーするトレイルを選択します。デフォルトでは、CloudTrail は S3 バケットの CloudTrail プレフィックスとプレフィックス内の CloudTrail プレフィックスに含まれる CloudTrail イベントのみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、[Enter S3 URI] (S3 URI を入力)、[Browse S3] (S3 を閲覧) の順に選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、KMS キーポリシーが CloudTrail にデータを復号化するためのアクセス権を付与していることを確認します。ソース S3 バケットが複数の KMS キーを使用している場合は、CloudTrail アクセスを付与するように各キーのポリシーを更新する必要があります。KMS キーポリシーの更新の詳細については、「ソース S3 バケット内のデータを復号化するための KMS キーポリシー」を参照してください。

    2. (オプション)イベントをコピーする時間範囲を選択します。時間範囲を選択した場合、CloudTrail はプレフィックスとログファイル名をチェックして、選択した開始日と終了日間の日付が名前に含まれていることを確認してから、トレイルイベントのコピーを試みます。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と宛先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

      • [Relative range] (相対範囲) を選択した場合、過去 5 分間、30 分、1 時間、6 時間またはカスタム範囲でログに記録されたイベントをコピーすることを選択できます。CloudTrail は、選択した期間内に記録されたイベントをコピーします。

      • [Absolute range] (絶対範囲) を選択した場合、特定の開始日と終了日を選択できます。CloudTrail は、選択した開始日と終了日の間に発生したイベントをコピーします。

    3. [Permissions] (アクセス許可) については、以下の IAM ロールのオプションから選択します。既存の IAM ロールを選択する場合は、IAM ロールポリシーが必要なアクセス許可を提供していることを確認してください。IAM ロールの許可の更新の詳細については、「証跡イベントをコピーするための IAM 許可」を参照してください。

      • [Create a new role (recommended)] (新しいロールの作成 (推奨)) を選択して、新しい IAM ロールを作成します。[Enter IAM role name] (IAM ロール名を入力してください) に、ロールの名前を入力します。CloudTrail は、この新しいロールに必要なアクセス許可を自動的に作成します。

      • リストにないカスタム IAM ロールを使用するには、[Use a custom IAM role] (カスタム IAM ロールを使用する) を選択してください。[Enter IAM role ARN] (IAM ロールの ARN を入力) で、IAM ARN を入力します。

      • [Use an existing role] (既存のロールを使用) を選択して、ドロップダウンリストから既存の IAM ロールを選択します。

  11. イベントデータストアに管理イベントが含まれている場合は、[Read] (読み取り)、[Write] (書き込み)、またはそれらの両方を選択します。少なくとも 1 つが必要です。[Read] (読み取り) と [Write] (書き込み) 管理イベントの詳細については、「証跡での管理イベントの記録」を参照してください。

  12. イベントデータストアから、AWS Key Management Service イベント、または Amazon RDS のデータ API イベントを除外することを選択できます。詳細については、「証跡での管理イベントの記録」を参照してください。

  13. イベントデータストアにデータイベントを含めるには、次の手順を実行します。

    1. データイベントタイプを選択します。これは、データイベントがログに記録される AWS のサービスとリソースです。

    2. [Log selector template] (ログセレクターテンプレート) でテンプレートを選択します。すべてのデータイベント、readOnly イベント、もしくは writeOnly イベントをログに記録することを選択、または [Custom] (カスタム) を選択してカスタムログセレクターを構築することができます。

    3. [Custom] (カスタム) を選択する場合、オプションでカスタムログセレクターテンプレートの名前を入力します。

    4. [Advanced event selectors] (高度なイベントセレクター) で、[Field] (フィールド)、[Operator] (オペレーター)、および [Value] (値) の値を選択して式を作成します。イベントデータストアの高度なイベントセレクターは、証跡に適用する高度なイベントセレクターと同じように機能します。高度なイベントセレクターを作成する方法の詳細については、「高度なイベントセレクターを使用してデータイベントを記録する」を参照してください。

      以下の例は、[Custom] (カスタム) ログセレクターテンプレートを使用して、Put で始まる S3 オブジェクト (PutObject など) からのイベント名のみを選択します。高度なイベントセレクターは、他のイベントタイプやリソース ARN を含めたり除外したりしないため、米国東部 (バージニア北部) リージョンにログされ、イベント名が Put で始まるすべての S3 データイベント (読み取りと書き込みの両方) がイベントデータストアに保存されます。

      
                                Lake データイベント、高度なイベントセレクター
      重要

      S3 バケット ARN を使用することによって高度なイベントセレクターでデータイベントを除外または含めるには、常に [Starts with] (次で始まる) オペレーターを使用してください。

    5. オプションで、[JSON view] (JSON ビュー) を展開して、高度なイベントセレクターを JSON ブロックとして表示します。[Next] を選択します。

  14. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  15. 新しいイベントデータストアが、[Lake] (レイク) ページの [Event data stores] (イベントデータストア) 表に表示されます。

    イベントデータストアは、この時点以降の高度なイベントセレクターに一致するイベントを取得します。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントのコピーを選択しない限り、イベントデータストアにはありません。