での監査ログの表示 AWS CloudTrail - Amazon Managed Workflows for Apache Airflow
での証跡の作成 CloudTrailイベント履歴を使用した CloudTrail イベントの表示CreateEnvironment のトレイルの例次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での監査ログの表示 AWS CloudTrail

AWS CloudTrail は、IAM エンティティまたは Amazon Managed Workflows for Apache Airflow などの AWS サービスによって実行されたアクティビティ CloudTrail を CloudTrail イベントとして記録するときに、 AWS アカウントで有効になります。 CloudTrail コンソールで過去 90 日間のイベント履歴を表示、検索、ダウンロードできます。 は、Amazon MWAA コンソールのすべてのイベントと、Amazon MWAA API へのすべての呼び出しを CloudTrail キャプチャします。 APIs GetEnvironment などの読み取り専用アクションや PublishMetrics アクションはキャプチャされません。このページでは、 CloudTrail を使用して Amazon MWAA のイベントをモニタリングする方法について説明します。

での証跡の作成 CloudTrail

Amazon MWAA のイベントなど、 AWS アカウント内のイベントの継続的な記録を表示するには、証跡を作成する必要があります。証跡により、 はログファイル CloudTrail を Amazon S3 バケットに配信できます。証跡を作成しない場合でも、 CloudTrail コンソールで利用可能なイベント履歴を表示できます。例えば、 で収集された情報を使用して CloudTrail、Amazon MWAA に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。詳細については、AWS 「アカウントの証跡の作成」を参照してください。

イベント履歴を使用した CloudTrail イベントの表示

イベント履歴を表示することで、過去 90 日間の運用インシデントとセキュリティインシデントを CloudTrail コンソールでトラブルシューティングできます。例えば、アカウント内のリソース (IAM ユーザーやその他の AWS リソースなど) の作成、変更、削除に関連するイベント AWS をリージョンごとに表示できます。詳細については、「イベント履歴を使用した CloudTrail イベントの表示」を参照してください。

  1. CloudTrail コンソールを開きます。

  2. [イベント履歴] を選択します。

  3. 表示したいイベントを選択し、[イベントの詳細を比較] を選択します。

CreateEnvironment のトレイルの例

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。

CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、アクションの日時やリクエストパラメータなど、リクエストされたアクションに関する情報が含まれます。 CloudTrail ログファイルはパブリック API コールの順序付けられたスタックトレースではなく、特定の順序で表示されません。次の例では、アクセス許可がないために拒否された CreateEnvironment アクションのログエントリを示します。AirflowConfigurationOptions 内の値は、プライバシー保護のために編集されています。

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "00123456ABC7DEF8HIJK",
        "arn": "arn:aws:sts::012345678901:assumed-role/root/myuser",
        "accountId": "012345678901",
        "accessKeyId": "",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "00123456ABC7DEF8HIJK",
                "arn": "arn:aws:iam::012345678901:role/user",
                "accountId": "012345678901",
                "userName": "user"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2020-10-07T15:51:52Z"
            }
        }
    },
    "eventTime": "2020-10-07T15:52:58Z",
    "eventSource": "airflow.amazonaws.com",
    "eventName": "CreateEnvironment",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.178",
    "userAgent": "PostmanRuntime/7.26.5",
    "errorCode": "AccessDenied",
    "requestParameters": {
        "SourceBucketArn": "arn:aws:s3:::my-bucket",
        "ExecutionRoleArn": "arn:aws:iam::012345678901:role/AirflowTaskRole",
        "AirflowConfigurationOptions": "***",
        "DagS3Path": "sample_dag.py",
        "NetworkConfiguration": {
            "SecurityGroupIds": [
                "sg-01234567890123456"
            ],
            "SubnetIds": [
                "subnet-01234567890123456",
                "subnet-65432112345665431"
            ]
        },
        "Name": "test-cloudtrail"
    },
    "responseElements": {
        "message": "Access denied."
    },
    "requestID": "RequestID",
    "eventID": "EventID",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}

次のステップ

  • サポートされている AWS サービスと統合 の CloudTrail ログで収集されたイベントデータ用に他の サービスを設定する方法について説明します。 CloudTrail

  • が新しいログファイルを Amazon S3 バケットに CloudTrail 発行するときに通知を受け取る方法については、「 の Amazon Amazon SNS 通知の設定」を参照してください CloudTrail