翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrail ログ AWS アカウント 記録を使用した API コールのモニタリング
Amazon CodeCatalyst は と統合されています。これは AWS CloudTrail、ユーザー、ロール、またはイベント AWS アカウント として接続された CodeCatalyst で に代わって行われた AWS サービス. CloudTrail captures API コールによって実行されたアクションを記録するサービスです。証跡を作成する場合は、 の CloudTrail イベントなど、S3 バケットへのイベントの継続的な配信を有効にすることができます CodeCatalyst。証跡を設定しない場合でも、 CloudTrail コンソールのイベント履歴 で最新のイベントを表示できます。
CodeCatalyst では、次のアクションをイベントとして CloudTrail ログファイルに記録できます。
-
CodeCatalyst スペースの管理イベントは、スペースの指定された請求アカウント AWS アカウント である に記録されます。詳細については、「CodeCatalyst スペースイベント」を参照してください。
注記
CodeCatalyst スペースのデータイベントには、「」で説明されているように CLI を使用してアクセスできますイベントログを使用したログイベントへのアクセス。
-
接続された で発生する CodeCatalyst ワークフローアクションで使用されるリソースのイベントは、その のイベントとして記録 AWS アカウント されます AWS アカウント。詳細については、「CodeCatalyst アカウント接続と請求イベント」を参照してください。
重要
複数のアカウントをスペースに関連付けることができますが、 CodeCatalyst スペースとプロジェクトのイベントの CloudTrail ログ記録は請求アカウントにのみ適用されます。
スペース請求アカウントは AWS アカウント 、 無料利用枠を超える CodeCatalyst リソースに対して課金される AWS です。複数のアカウントをスペースに接続できますが、指定された請求アカウントは 1 つのアカウントのみです。スペースの請求アカウントまたは追加の接続アカウントには、Amazon ECS クラスターや S3 バケットなどの AWS リソースとインフラストラクチャを CodeCatalyst ワークフローからデプロイするために使用される IAM ロールを含めることができます。ワークフロー YAML を使用して、デプロイ AWS アカウント した を識別できます。
注記
AWS CodeCatalyst ワークフローの接続されたアカウントにデプロイされた リソースは、 CodeCatalyst スペースの CloudTrail ログ記録の一部として記録されません。例えば、 CodeCatalystリソースにはスペースや project. AWS resources には Amazon ECS サービスや Lambda 関数が含まれます。 CloudTrail ログ記録は、リソース AWS アカウント がデプロイされる各 に対して個別に設定する必要があります。
CodeCatalyst 接続されたアカウントのログインには、次の考慮事項が含まれます。
-
CloudTrail イベントへのアクセスは、 ではなく、接続されたアカウントの IAM で管理されます CodeCatalyst。
-
GitHub リポジトリへのリンクなどのサードパーティー接続では、サードパーティーのリソース名が CloudTrail ログに記録されます。
注記
CloudTrail CodeCatalyst イベントの ログ記録はスペースレベルであり、プロジェクトの境界によってイベントを分離しません。
の詳細については CloudTrail、「 AWS CloudTrail ユーザーガイド」を参照してください。
注記
このセクションでは、スペースにログインした と、 に接続されている にログイン CodeCatalyst AWS アカウント したすべてのイベントの CloudTrail ログ記録について説明します CodeCatalyst。さらに、 CodeCatalyst スペースに記録されたすべてのイベントを確認するには、 AWS CLI および aws codecatalyst list-event-logs コマンドを使用することもできます。詳細については、「イベントログを使用したログイベントへのアクセス」を参照してください。
CodeCatalyst スペースイベント
スペースレベルおよびプロジェクトレベルのリソースを管理する CodeCatalyst ための のアクションは、スペースの請求アカウントに記録されます。 CodeCatalyst スペースの CloudTrail ログ記録の場合、イベントは次の考慮事項に従ってログに記録されます。
-
CloudTrail イベントはスペース全体に適用され、単一のプロジェクトには限定されません。
-
AWS アカウント を CodeCatalyst スペースに接続すると、アカウント接続のログ可能なイベントがその に記録されます AWS アカウント。この接続を有効にすると、無効にすることはできません。
-
AWS アカウント を CodeCatalyst スペースに接続し、スペースの請求アカウントとして指定すると、イベントはその に記録されます AWS アカウント。この接続を有効にすると、無効にすることはできません。
スペースレベルおよびプロジェクトレベルのリソースのイベントは、請求アカウントにのみ記録されます。 CloudTrail 送信先アカウントを変更するには、 で請求アカウントを更新します CodeCatalyst。次の毎月の請求サイクルの開始時に、この変更は の新しい請求アカウントに対して有効になります CodeCatalyst。その後、 CloudTrail送信先アカウントが更新されます。
以下は、スペースレベルおよびプロジェクトレベルのリソースを管理するための の CodeCatalystアクション AWS に関連する のイベントの例です。次の APIsは SDK と CLI を通じてリリースされます。イベントは、 CodeCatalyst スペースの請求アカウントとして AWS アカウント 指定された に記録されます。
CodeCatalyst アカウント接続と請求イベント
アカウント接続または請求の でのアクションに関連する の CodeCatalystイベントの例 AWS を次に示します。
-
AcceptConnection -
AssociateIAMRoletoConnection -
DeleteConnection -
DissassociateIAMRolefromConnection -
GetBillingAuthorization -
GetConnection -
GetPendingConnection -
ListConnections -
ListIAMRolesforConnection -
PutBillingAuthorization -
RejectConnection
CodeCatalyst の情報 CloudTrail
CloudTrail アカウントを作成する AWS アカウント と、 で が有効になります。これを CodeCatalyst スペースに接続する AWS アカウント と、ログインしている で発生したそのスペースのイベント AWS アカウント はその AWS アカウント CloudTrail にログインします。のログ可能なイベント CodeCatalyst は、接続 CloudTrail されたアカウントの CloudTrail ログと CloudTrail コンソールのイベント履歴に、そのアカウントの他のログ可能な AWS イベントとともに記録されます。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:
-
リクエストが Builder ID AWS を持つユーザーによって行われたかどうか。
-
リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザーの認証情報を使用して行われたかどうか。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが別の AWS サービスによって行われたかどうか。
詳細については、CloudTrail userIdentity 要素」を参照してください。
CloudTrail イベントへのアクセス
でのアクティビティのイベントなど AWS アカウント、 のイベントの継続的な記録については CodeCatalyst AWS アカウント、証跡を作成します。証跡により、 CloudTrail はログファイルを S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたイベントデータをさらに分析し、それに基づいて行動するように他の AWS サービスを設定できます。詳細については、次を参照してください:
証跡は、指定した S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
の CodeCatalyst アカウント接続イベントの例 AWS
次の例は、 ListConnectionsアクションを示す CloudTrail ログエントリを示しています。スペース AWS アカウント に接続されている の場合、 ListConnections はこの CodeCatalyst の へのすべてのアカウント接続を表示するために使用されます AWS アカウント。イベントは で AWS アカウント 指定された に記録されaccountId、 の値はアクションに使用されるロールの Amazon リソースネーム (ARN) arnになります。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "role-ARN", "accountId": "account-ID", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "role-ARN", "accountId": "account-ID", "userName": "user-name" }, "webIdFederationData": {}, "attributes": { "creationDate": "2022-09-06T15:04:31Z", "mfaAuthenticated": "false" } } }, "eventTime": "2022-09-06T15:08:43Z", "eventSource": "account-ID", "eventName": "ListConnections", "awsRegion": "us-west-2", "sourceIPAddress": "192.168.0.1", "userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.4.207-126.363.amzn2int.x86_64 botocore/1.18.6", "requestParameters": null, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "account-ID", "eventCategory": "Management" }
の CodeCatalyst プロジェクトリソースイベントの例 AWS
次の例は、 CreateDevEnvironmentアクションを示す CloudTrail ログエントリを示しています。スペース AWS アカウント に接続され、スペースの指定された請求アカウントである は、開発環境の作成など、スペース内のプロジェクトレベルのイベントに使用されます。
の accountIdフィールドuserIdentityで、これはすべての AWS Builder ID の ID プールをホストする IAM Identity Center アカウント ID (432677196278) です。このアカウント ID には、イベントの CodeCatalyst ユーザーに関する以下の情報が含まれています。
-
typeフィールドは、リクエストの IAM エンティティのタイプを示します。スペースとプロジェクトリソースの CodeCatalyst イベントの場合、この値は ですIdentityCenterUser。accountIdフィールドは、認証情報の取得に使用されたエンティティを所有するアカウントを指定します。 -
userIdフィールドには、ユーザーの AWS Builder ID 識別子が含まれます。 -
identityStoreArnフィールドには、ID ストアアカウントとユーザーのロール ARN が含まれます。
recipientAccountId フィールドには、スペースの請求アカウントのアカウント ID が含まれ、ここでは 111122223333 のサンプル値が含まれます。
詳細については、CloudTrail userIdentity 要素」を参照してください。
{ "eventVersion": "1.09", "userIdentity": { "type": "IdentityCenterUser", "accountId": "432677196278", "onBehalfOf": { "userId": "user-ID", "identityStoreArn": "arn:aws:identitystore::432677196278:identitystore/d-9067642ac7" }, "credentialId": "ABCDefGhiJKLMn11Lmn_1AbCDEFgHijk-AaBCdEFGHIjKLmnOPqrs11abEXAMPLE" }, "eventTime": "2023-05-18T17:10:50Z", "eventSource": "codecatalyst.amazonaws.com", "eventName": "CreateDevEnvironment", "awsRegion": "us-west-2", "sourceIPAddress": "192.168.0.1", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0", "requestParameters": { "spaceName": "MySpace", "projectName": "MyProject", "ides": [{ "runtime": "public.ecr.aws/q6e8p2q0/cloud9-ide-runtime:2.5.1", "name": "Cloud9" }], "instanceType": "dev.standard1.small", "inactivityTimeoutMinutes": 15, "persistentStorage": { "sizeInGiB": 16 } }, "responseElements": { "spaceName": "MySpace", "projectName": "MyProject", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 " }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventCategory": "Management" }
注記
特定のイベントでは、ユーザーエージェントがわからない場合があります。この場合、 は CloudTrail イベントの Unknown userAgent フィールドに の値 CodeCatalyst を指定します。
CodeCatalyst イベント証跡のクエリ
Amazon Athena のクエリテーブルを使用して、 CloudTrail ログのクエリを作成および管理できます。クエリの作成の詳細については、「Amazon Athena ユーザーガイド」の AWS CloudTrail 「ログのクエリ」を参照してください。 Amazon Athena
