AWS CloudTrail を使用した Fleet Hub for AWS IoT Device Management API コールのログ記録 - の Fleet Hub AWS IoT デバイスの管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail を使用した Fleet Hub for AWS IoT Device Management API コールのログ記録

Fleet Hub for AWS IoT Device Management は AWS CloudTrail と統合されています。CloudTrail サービスは、ユーザー、ロール、または AWS のサービスが Fleet Hub で実行するアクションの記録を提供します。CloudTrail は、Fleet Hub のすべての API 呼び出しをイベントとしてキャプチャします。キャプチャされた呼び出しには、Fleet Hub コンソールからの呼び出しと、Fleet Hub API オペレーションへのコード呼び出しが含まれます。

証跡を作成する場合は、Fleet Hub のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。

CloudTrail が収集する情報を使用して、Fleet Hub に対して行われたリクエスト、リクエスト元の IP アドレス、リクエストを行ったユーザーと時期、および詳細を判別できます。

CloudTrail の詳細については、AWS CloudTrail ユーザーガイドを参照してください。

CloudTrail での Fleet Hub 情報

AWS CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Fleet Hub でアクティビティが発生すると、そのアクティビティは [Event history] (イベント履歴) 内の他の AWS のサービスのイベントとともに CloudTrail イベントに記録されます。AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、CloudTrail イベント履歴でのイベントの表示を参照してください。

Fleet Hub のイベントなど、AWS アカウントのイベントを継続的に記録する場合は、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべての AWS リージョンに適用されます。追跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。

その他の AWS のサービスを設定して、CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うこともできます。詳細については、以下を参照してください。

CloudTrail は、すべての Fleet Hub アクションを記録します。これらは、AWS IoT API リファレンスで説明されています。例えば、CreateApplication および UpdateApplication の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。同一性情報は次の判断に役立ちます。

  • リクエストが、ルートと AWS Identity and Access Management ユーザー認証情報のどちらを使用して送信されたか

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか

  • リクエストが、別の AWS のサービスによって送信されたかどうか

詳細については、CloudTrail userIdentity エレメントを参照してください。

Fleet Hub for AWS IoT Device Management ログファイルのエントリについて

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。

CloudTrail のログファイルには、単一か複数のログエントリがあります。イベントはあらゆるソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどの情報が含まれます。

CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の CloudTrail ログエントリは、CreateApplication アクションに関する情報を示します。

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "principal-id", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/test-user-name", "accountId": "123456789012", "accessKeyId": "access-key", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "principal-id", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2020-12-04T19:59:53Z" } } }, "eventTime": "2020-12-04T20:02:38Z", "eventSource": "iotfleethub.amazonaws.com", "eventName": "CreateApplication", "awsRegion": "us-east-1", "sourceIPAddress": "72.22.186.61", "userAgent": "console.amazonaws.com", "requestParameters": { "applicationDescription": "Test application description", "applicationName": "Test application name", "clientToken": "c9bc7f45-3737-4ee9-9b0f-5de1aab169b2" }, "responseElements": { "applicationUrl": "https://application-id.app.iotfleethub.aws", "applicationArn": "arn:aws:iotfleethub:us-east-1:123456789012:application/application-id", "applicationId": "application-id" }, "requestID": "5456304e-31c5-4336-9bbe-a375e3728eee", "eventID": "9ffb5d72-9267-4f4e-88e6-d26051133c8c", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }