を使用した AWS IoT API コールのログ記録 AWS CloudTrail

AWS IoT は、 と統合されています。これは AWS CloudTrail、 のユーザー、ロール、または AWS サービスによって実行されたアクションを記録するサービスです AWS IoT。 は、 AWS IoT コンソールからの呼び出しや API へのコード呼び出しを含む、 のすべての API 呼び出しをイベント AWS IoT として CloudTrail キャプチャします。 AWS IoT APIs 証跡を作成する場合は、 の CloudTrailイベントなど、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます AWS IoT。証跡を設定しない場合でも、 CloudTrail コンソールのイベント履歴 で最新のイベントを表示できます。によって収集された情報を使用して CloudTrail、 に対して行われたリクエスト AWS IoT、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

の詳細については CloudTrail、「 AWS CloudTrail ユーザーガイド」を参照してください。

AWS IoT の情報 CloudTrail

CloudTrail アカウントを作成する AWS アカウント と、 で が有効になります。でアクティビティが発生すると AWS IoT、そのアクティビティは CloudTrail イベント履歴 の他の AWS サービスイベントとともにイベントに記録されます。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、「イベント履歴を使用した CloudTrail イベントの表示」を参照してください。

AWS IoTのイベントなど、 AWS アカウントのイベントの継続的な記録に対して、追跡を作成します。証跡により CloudTrail 、 はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、証跡はすべての に適用されます AWS リージョン。証跡は、 AWS パーティション内のすべての からのイベント AWS リージョンをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。 CloudTrail ログで収集されたイベントデータをさらに分析し、それに基づいて行動するように、他の AWS サービスを設定できます。詳細については、以下をご覧ください。

• 証跡を作成するための概要

• CloudTrail サポートされているサービスと統合

• の Amazon SNS 通知の設定 CloudTrail

• 複数のリージョンからの CloudTrail ログファイルの受信と複数のアカウントからのログファイルの受信 CloudTrail

注記

AWS IoT データプレーンアクション (デバイス側) は によってログに記録されません CloudTrail。を使用して CloudWatch 、これらのアクションをモニタリングします。

一般的に、変更を行う AWS IoT コントロールプレーンアクションは によってログに記録されます CloudTrail。CreateThing、CreateKeysAndCertificate、 などの呼び出しは CloudTrail エントリをUpdateCertificate離れますが、 ListThingsや ListTopicルールなどの呼び出しはエントリを離れません。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。同一性情報は次の判断に役立ちます。

• リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

• リクエストがロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して行われたかどうか。

• リクエストが別の AWS サービスによって行われたかどうか。

詳細については、CloudTrail userIdentity Element」を参照してください。

AWS IoT アクションは AWS IoT API リファレンス に記載されています。 AWS IoT ワイヤレスアクションは AWS IoT Wireless API リファレンス に記載されています。

AWS IoT ログファイルエントリについて

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、 AttachPolicyアクションを示す CloudTrail ログエントリを示しています。

{
    "timestamp":"1460159496",
    "AdditionalEventData":"",
    "Annotation":"",
    "ApiVersion":"",
    "ErrorCode":"",
    "ErrorMessage":"",
    "EventID":"8bff4fed-c229-4d2d-8264-4ab28a487505",
    "EventName":"AttachPolicy",
    "EventTime":"2016-04-08T23:51:36Z",
    "EventType":"AwsApiCall",
    "ReadOnly":"",
    "RecipientAccountList":"",
    "RequestID":"d4875df2-fde4-11e5-b829-23bf9b56cbcd",
    "RequestParamters":{
        "principal":"arn:aws:iot:us-east-1:123456789012:cert/528ce36e8047f6a75ee51ab7beddb4eb268ad41d2ea881a10b67e8e76924d894",
        "policyName":"ExamplePolicyForIoT"
    },
    "Resources":"",
    "ResponseElements":"",
    "SourceIpAddress":"52.90.213.26",
    "UserAgent":"aws-internal/3",
    "UserIdentity":{
        "type":"AssumedRole",
        "principalId":"AKIAI44QH8DHBEXAMPLE",
        "arn":"arn:aws:sts::12345678912:assumed-role/iotmonitor-us-east-1-beta-InstanceRole-1C5T1YCYMHPYT/i-35d0a4b6",
        "accountId":"222222222222",
        "accessKeyId":"access-key-id",
        "sessionContext":{
            "attributes":{
                "mfaAuthenticated":"false",
                "creationDate":"Fri Apr 08 23:51:10 UTC 2016"
            },
            "sessionIssuer":{
                "type":"Role",
                "principalId":"AKIAI44QH8DHBEXAMPLE",
                "arn":"arn:aws:iam::123456789012:role/executionServiceEC2Role/iotmonitor-us-east-1-beta-InstanceRole-1C5T1YCYMHPYT",
                "accountId":"222222222222",
                "userName":"iotmonitor-us-east-1-InstanceRole-1C5T1YCYMHPYT"
            }
        },
        "invokedBy":{
            "serviceAccountId":"111111111111"
        }
    },
    "VpcEndpointId":""
}