管理イベントをログに記録する証跡を作成する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理イベントをログに記録する証跡を作成する

最初の証跡として、すべての管理イベントをログに記録し、データイベントや Insights イベントをログに記録しない証跡を作成することをお勧めします。管理イベントの例には、IAM CreateUserAttachRolePolicy イベントなどのセキュリティイベント、RunInstancesCreateBucket などのリソースイベントが含まれています。 CloudTrail コンソールで証跡を作成する一環として、証跡のログファイルを保存する Amazon S3 バケットを作成します。

注記

AWS Control Tower は、ランディングゾーンを設定するときに、新しい CloudTrail 証跡ログ管理イベントを設定します。これは組織レベルの証跡です。つまり、管理アカウントと組織内のすべてのメンバーアカウントのすべての管理イベントをログに記録します。詳細については、「 ユーザーガイド」の「ログインについて AWS Control TowerAWS CloudTrail 」を参照してください。

このチュートリアルでは、最初の証跡を作成することを前提としています。 AWS アカウント内の証跡の数と、それらの証跡の設定方法によっては、次の手順で費用が発生する場合と発生しない場合があります。 は CloudTrail ログファイルを Amazon S3 バケットに保存し、コストが発生します。料金の詳細については、「AWS CloudTrail の料金」および「Amazon S3 の料金」を参照してください。

追跡を作成するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

  2. リージョンセレクタで、証跡を作成する AWS リージョンを選択します。これは、証跡のホームリージョン です。

    注記

    作成後に証跡を更新 AWS リージョン できるのは、ホームリージョンだけです。

  3. CloudTrail サービスのホームページ、証跡ページ、またはダッシュボードページの跡セクションで、証跡の作成 を選択します。

  4. 証跡名 で、管理イベント などの名前を証跡に付けます。追跡の目的をすぐに識別できる名前を使用するのがベストプラクティスです。この例では、管理イベントをログに記録する追跡を作成しています。

  5. [組織内のすべてのアカウントで有効化] は、デフォルト設定のままにします。このオプションは、Organizations でアカウントを設定しない限り、変更できません。

  6. [ストレージの場所] で、[新しい S3 バケットを作成する] を選択すると、新しいバケットが作成されます。バケットを作成すると、 は必要なバケットポリシー CloudTrail を作成して適用します。新しい S3 バケットを作成する場合は、デフォルトでバケットのサーバー側の暗号化が有効になっているため、IAM ポリシーに s3:PutEncryptionConfigurationアクションのアクセス許可を含める必要があります。識別しやすい名前をバケットに付けます。

    ログを見つけやすくするには、既存のバケットに新しいフォルダ (プレフィックス とも呼ばれます) を作成して CloudTrail ログを保存します。

    注記

    Amazon S3 バケットの名前はグローバルで一意であることが必要です。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの名前付け」を参照してください。

  7. [ログファイル SSE-KMS 暗号化] を無効にするには、このチェックボックスをオフにします。デフォルトでは、SSE-S3 の暗号化を使用して、ログファイルが暗号化されます。この設定の詳細については、Amazon S3 マネージドキーによるサーバー側の暗号化の使用 (SSE-S3)」を参照してください。

  8. [Additional settings] はデフォルト設定のままにします。

  9. CloudWatch ログ のデフォルト設定のままにします。現時点では、Amazon CloudWatch Logs にログを送信しないでください。

  10. (オプション) [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、 CloudTrail ログファイルを含む Amazon S3 バケットなど、 CloudTrail 証跡やその他のリソースを識別するのに役立ちます。例えば、Compliance という名前の Auditing という値のタグをアタッチできます。

    注記

    CloudTrail コンソールで作成するときに証跡にタグを追加したり、 CloudTrail コンソールにログファイルを保存するための Amazon S3 バケットを作成したりできますが、 CloudTrail コンソールから Amazon S3 バケットにタグを追加することはできません。バケットへのタグの追加など、Amazon S3 バケットのプロパティの表示と変更の詳細については、「Amazon S3 ユーザーガイド」を参照してください。

    タグの作成が完了したら、[Next] をクリックします。

  11. [Choose log events] ページで、ログに記録するイベントタイプを選択します。この証跡では、[管理イベント] はそのままにしておきます。[管理イベント] 領域で、[読み取り] および [書き込み] イベントの両方をログに記録することをまだ選択していない場合は、選択します。すべての管理 AWS KMS イベントをログに記録するには、Exclude events と Exclude Amazon RDS Data API events のチェックボックスを空のままにします。

    [証跡の作成] ページ、[イベントタイプ] の設定

  12. [データイベント] および [Insights イベント] の設定はデフォルトのままにしておきます。この証跡は、データや CloudTrail Insights イベントを記録しません。[次へ] をクリックします。

  13. [確認と作成] ページで、詳細用に選択した設定を確認します。戻って変更するには、セクションの [Edit] を選クリックします。証跡を作成する準備ができたら、[Create trail] を選択します。

  14. [証跡] ページには、新しい証跡がテーブルに表示されます。トレイルはマルチリージョン証跡に設定され、ログ記録はデフォルトで有効になっています。

    [証跡の作成] ページ、[イベントタイプ] の設定

証跡の詳細については、「」を参照してください CloudTrail 証跡の使用