コンソールを使用して証跡イベントを新しいイベントデータストアにコピーする - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用して証跡イベントを新しいイベントデータストアにコピーする

このチュートリアルでは、履歴分析のために証跡イベントを新しい CloudTrail Lake イベントデータストアにコピーする方法を示します。証跡イベントのコピーに関する詳細については、「イベントデータストアへ証跡イベントをコピーします」を参照してください。

新規イベントデータストアへ証跡イベントをコピーする

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. 「イベントデータストアの設定」ページの全般的な詳細「」で、イベントデータストアに などの名前を付けますmy-management-events-eds。イベントデートストアの意図をすぐに識別できる名前を使用するのがベストプラクティスです。 CloudTrail 命名要件については、「」を参照してください CloudTrail リソース、S3 バケット、KMS キーの命名要件

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail  料金表」と「 CloudTrail Lake コストの管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日が経過すると、延長保持は pay-as-you-go 料金で利用できます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの が指定された保持期間内であるかどうかを確認することで、eventTimeイベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、 eventTimeは 90 日を経過するとイベント CloudTrail を削除します。

    注記

    CloudTrail は、イベントeventTimeが指定された保持期間より古い場合、イベントをコピーしません。

    適切な保持期間を決定するには、コピーする最も古いイベントを日数で合計し、イベントデータストアにイベントを保持する日数 (保持期間 = oldest-event-in-days + ) を取得しますnumber-days-to-retain。例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。

  7. (オプション) [暗号化] で、独自の KMS キーを使用してイベントデータストアを暗号化するかどうかを選択します。デフォルトでは、イベントデータストア内のすべてのイベントは、 AWS が所有および管理する KMS キー CloudTrail を使用して暗号化されます。

    独自の KMS キーを使用して暗号化を有効にするには、[独自の  AWS KMS key を使用する] を選択します。新規 を選択して AWS KMS key を作成するか、既存 を選択して既存の KMS キーを使用します。「KMS エイリアスを入力」で、 形式でエイリアスを指定しますalias/MyAliasName。独自の KMS キーを使用するには、KMS キーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいAWS KMS の主要ポリシーの設定 CloudTrail。 は AWS KMS マルチリージョンキー CloudTrail もサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自の KMS キーを使用すると、暗号化と復号化の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。

    イベントデータストアの全般的な詳細を設定する

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、 AWS Glue データカタログ内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue Data Catalog に保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) をデータセットに追加します。タグは、 CloudTrail イベントデータストアを識別するのに役立ちます。例えば、stage という名前の prod という値のタグをアタッチできます。タグを使用して、イベントデータストアへのアクセスを制限できます。タグを使用して、イベントデータストアのクエリコストと取り込みコストを追跡することもできます。

    タグを使用してコストを追跡する方法については、「 CloudTrail Lake イベントデータストアのユーザー定義のコスト配分タグの作成」を参照してください。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。でタグを使用する方法については AWS、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。

    イベントデータストアのタグを設定する

  10. [次へ] を選択して、イベントデータストアを設定します。

  11. [イベントの選択]ページで、[イベントタイプ] はデフォルトの選択のままにします。

    イベントデートストアのイベントタイプを選択します。

  12. CloudTrail イベント の場合、管理イベントは選択したままにして、証跡イベントのコピー を選択します。この例では、イベントデータストアは過去のイベントの分析にのみ使用し、将来のイベントは取り込まないため、イベントタイプを考慮する必要はありません。

    既存の証跡を置き換えるためにイベントデータストアを作成する場合は、証跡と同じイベントセレクターを選択して、イベントデータストアが同じイベント範囲であることを確認してください。

    CloudTrail イベントデータストアのイベントタイプを選択する

  13. 組織のイベントデートストアの場合は、[組織内の全アカウントで有効にする] を選択します。このオプションは、 AWS Organizations でアカウントを設定していない場合は変更できません。

    注記

    組織のイベントデータストアを作成する場合、組織イベントデータストアに証跡イベントをコピーできるのは管理アカウントだけなので、組織の管理アカウントでサインインする必要があります。

  14. [追加設定] で、[イベントの取り込み] を選択解除します。この例では、コピーされたイベントのクエリのみを扱い、イベントデータストアでは未来のイベントを取り込まないためです。デフォルトでは、イベントデータストアはすべての のイベントを収集 AWS リージョン し、作成時にイベントの取り込みを開始します。

  15. [管理イベント] は、デフォルト設定のままにします。

    イベントデータストアの管理イベントオプションを選択する

  16. [証跡イベントのコピー] 領域で、以下の手順を完了してください。

    1. コピーするトレイルを選択します。この例では、management-events という名前の証跡を扱います。

      デフォルトでは、 は S3 バケットのCloudTrailプレフィックスとプレフィックス内のCloudTrailプレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、S3 URI を入力」を選択し、S3 を参照」を選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、KMS キーポリシーで がデータを復号 CloudTrail 化できることを確認してください。ソース S3 バケットが複数の KMS キーを使用している場合は、 がバケット内のデータを復 CloudTrail 号できるように、各キーのポリシーを更新する必要があります。KMS キーポリシーの更新の詳細については、「ソース S3 バケット内のデータを復号化するための KMS キーポリシー」を参照してください。

    2. イベントをコピーする時間範囲を選択します。証跡イベントをコピーする前に、プレフィックスとログファイル名 CloudTrail をチェックして、名前に選択した開始日と終了日の間の日付が含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

      • 相対範囲 を選択した場合は、過去 6 か月、1 年、2 年、7 年、またはカスタム範囲に記録されたイベントをコピーできます。 は、選択した期間内に記録されたイベント CloudTrail をコピーします。

      • 絶対範囲 を選択した場合、特定の開始日と終了日を選択できます。選択した開始日と終了日の間に発生したイベント CloudTrail をコピーします。

      この例では、[絶対範囲] を選択し、6 月全体を選択します。

      イベントデータストアの絶対範囲を選択する

    3. [Permissions] (アクセス許可) については、以下の IAM ロールのオプションから選択します。既存の IAM ロールを選択する場合は、IAM ロールポリシーが必要なアクセス許可を提供していることを確認してください。IAM ロールの許可の更新の詳細については、「証跡イベントをコピーするための IAM 許可」を参照してください。

      • [Create a new role (recommended)] (新しいロールの作成 (推奨)) を選択して、新しい IAM ロールを作成します。「IAM ロール名を入力」で、ロールの名前を入力します。 は、この新しいロールに必要なアクセス許可 CloudTrail を自動的に作成します。

      • カスタム IAM ロール ARN を使用する を選択して、リストにないカスタム IAM ロールを使用します。[Enter IAM role ARN] (IAM ロールの ARN を入力) で、IAM ARN を入力します。

      • ドロップダウンリストから既存の IAM ロールを選択します。

      この例では、[新しいロールを作成し (推奨)] を選択し、copy-trail-events と名前をつけます。

    CloudTrail イベントをコピーするためのオプションを選択する

  17. [Next] (次へ) を選択して、選択内容を確認します。

  18. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  19. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    イベントデータストアを表示する

  20. イベントデータストア名を選択すると、詳細ページが表示されます。詳細ページには、イベントデータストアの詳細とコピーのステータスが表示されます。イベントのコピーステータスは、[イベントコピーのステータス] 領域に表示されます。

    証跡イベントのコピーが完了すると、その[Copy status] (コピー ステータス) は、エラーがない場合は[Completed] (完了) に設定され、エラーが発生した場合は[Failed] (失敗) に設定されます。

    詳細ページでイベントコピーのステータスを表示する

  21. コピーの詳細を表示するには、[イベントログ S3 の場所] 列を選択するか、[アクション] メニューで [詳細を表示] を 選択します。証跡イベントコピーの詳細を表示する方法については、「 CloudTrail コンソールでイベントコピーの詳細を表示する」を参照してください。

    イベントコピーの詳細を表示する

  22. [コピー失敗] 領域には、証跡イベントのコピー時に発生したすべてのエラーが表示されます。[Copy status] (コピーのステータス) が[Failed] (失敗) の場合は、[Copy failures] (コピーの失敗) に示されているエラーを修正し、[Retry copy] (コピーの再試行) を選択します。コピーを再試行すると、 は障害が発生した場所でコピー CloudTrail を再開します。