AWS CloudTrail による Lookout for Vision API コールのロギング
Amazon Lookout for Vision は、ユーザー、ロール、または Lookout for Vision の AWS サービスによって実行されたアクションを記録するサービスである AWS CloudTrail と統合されています。CloudTrail は、Lookout for Vision のすべての API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、Lookout for Vision コンソールからの呼び出しと、Lookout for Vision API オペレーションへのコード呼び出しが含まれます。追跡を作成する場合は、Lookout for Vision のイベントを含む、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [イベント履歴] で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、Lookout for Vision に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
CloudTrail の詳細については、 「AWS CloudTrail ユーザーガイド」を参照してください。
CloudTrail での Lookout for Vision 情報
AWS アカウントを作成すると、そのアカウントに対して CloudTrail が有効になります。Lookout for Visionでアクティビティが発生すると、そのアクティビティはイベント履歴の他の AWS サービスイベントと一緒にCloudTrailのイベントに記録されます。AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、 「CloudTrail イベント履歴でのイベントの表示」を参照してください。
Lookout for Vision のイベントを含む、AWS アカウントのイベントの継続的な記録については、追跡を作成します。追跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで作成した追跡がすべての AWS リージョンに適用されます。追跡は、AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Simple Storage Service (Amazon S3) バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS サービスを設定できます。詳細については、次を参照してください。
Lookout for Vision の全てのアクションは CloudTrail によって記録され、Lookout for Vision API リファレンスドキュメントに記載されます。例えば、CreateProject、DetectAnomalies、StartModel といったアクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。
Amazon Lookout for Vision API コールをモニタリングすると、次の API コールが表示される場合があります。
lookoutvision:StartTriallDetection
lookoutvision:ListTriallDetection
lookoutvision:DescribeTrialDetection
これらの特別なコールは、Amazon Lookout for Vision でトライアル検出に関連するさまざまなオペレーションをサポートするために使用されます。詳細については、「トライアル検出タスクでモデルを検証する」を参照してください。
各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。同一性情報は次の判断に役立ちます。
-
リクエストが、ルートと AWS Identity and Access Management ユーザー認証情報のどちらを使用して送信されたか。
-
リクエストがロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが、別の AWS サービスによって送信されたかどうか。
詳細については、「CloudTrail userIdentity エレメント」を参照してください。
Lookout for Vision ログファイルのエントリについて
「トレイル」は、指定した Simple Storage Service (Amazon S3) バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルには、単一か複数のログエントリがあります。イベントはあらゆるソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどの情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
次の例は、CreateDataset アクションを示す CloudTrail ログエントリです。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAYN4CJAYDEXAMPLE:user", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/MyUser", "accountId": "123456789012", "accessKeyId": "ASIAYN4CJAYEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAYN4CJAYDCGEXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2020-11-20T13:15:09Z" } } }, "eventTime": "2020-11-20T13:15:43Z", "eventSource": "lookoutvision.amazonaws.com", "eventName": "CreateDataset", "awsRegion": "us-east-1", "sourceIPAddress": "128.0.0.1", "userAgent": "aws-cli/3", "requestParameters": { "projectName": "P1", "datasetType": "train", "datasetSource": { "groundTruthManifest": { "s3Object": { "bucket": "myuser-bucketname", "key": "training.manifest" } } }, "clientToken": "EXAMPLE-0526-47dd-a5d3-2ca975820a34" }, "responseElements": { "status": "CREATE_IN_PROGRESS" }, "requestID": "EXAMPLE-15e1-4bc9-be38-cda2537c75bf", "eventID": "EXAMPLE-c5e7-43e0-8449-8d9b87e15acb", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
