AWS CloudTrail を使用したアプリケーションのロギングとモニタリング - AWS 規範ガイダンス
CloudTrail の使用CloudTrail のユースケースCloudTrail のベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail を使用したアプリケーションのロギングとモニタリング

AWS CloudTrail は、AWS アカウント の運用とリスクの監査、ガバナンス、コンプライアンスを可能にする AWS のサービス です。ユーザー、ロール、または AWS のサービス によって実行されたアクションは、CloudTrail にイベントとして記録されます。イベントには、AWS Management Console、AWS Command Line Interface (AWS CLI)、および AWS SDK と API で実行されたアクションなどが考えられます。

CloudTrail の使用

CloudTrail は、アカウント作成時に AWS アカウント で有効になります。AWS アカウント アカウントでアクティビティが発生した場合、そのアクティビティは CloudTrail イベントに記録されます。イベント履歴に移動し、CloudTrail コンソールで簡単に最近のイベントを表示できます。

AWS アカウント のアクティビティおよびイベントを継続的に記録するには、「証跡」を作成します。単一の AWS リージョン またはすべてのリージョンの証跡を作成できます。証跡は各リージョンのログファイルを記録し、CloudTrail はログファイルを単一の統合された Amazon Simple Storage Service (Amazon S3) バケットに配信します。

証跡が指定したイベントのみを処理してログに記録するように、複数の証跡を異なる方法で設定することができます。これは、AWS アカウント で発生するイベントと、アプリケーションで発生するイベントをトリアージする場合に便利です。

注記

CloudTrail には検証機能があり、CloudTrail がログファイルを配信した後で、ログファイルが変更、削除されているか、もしくは変更されていないかを判断するために使用できます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。AWS CLI を使用して CloudTrail が配信した場所のファイルを検証することができます。この機能の詳細と有効化の方法については、「CloudTrail ログファイルの整合性の検証」(CloudTrail ドキュメント) を参照してください。。

CloudTrail のユースケース

  • コンプライアンス支援 — CloudTrail を使用すると、AWS アカウント でのイベント履歴が提供されるため、社内ポリシーや規制への準拠に役立ちます。

  • セキュリティ分析 — CloudTrail ログファイルを CloudWatch Logs、Amazon EventBridge、Amazon Athena、Amazon OpenSearch Service、またはその他のサードパーティソリューションなどのログ管理および分析ソリューションに取り込むことで、セキュリティ分析を実行し、ユーザーの行動パターンを検出できます。

  • データ流出 — CloudTrail に記録されたオブジェクトレベルの API イベントを介して Amazon S3 オブジェクトのアクティビティデータを収集することで、データ流出を検出できます。アクティビティデータが収集されたら、EventBridge や AWS Lambda などの他の AWS のサービス を使用して、自動応答をトリガーできます。

  • 運用上の問題のトラブルシューティング — CloudTrail ログファイルを使用して、運用上の問題をトラブルシューティングできます。例えば、AWS リソースの作成、変更、削除など、環境内のリソースに加えられた最新の変更をすばやく特定できます。

CloudTrail のベストプラクティス

  • すべての AWS リージョン の CloudTrail を有効にします。

  • ログファイルの整合性検証を有効にします。

  • ログを暗号化します。

  • CloudTrail ログファイルを CloudWatch Logs に取り込みます。

  • すべての AWS アカウント およびリージョンのログを一元化します。

  • ログファイルを含む S3 バケットにライフサイクルポリシーを適用します。

  • ユーザーが CloudTrail でロギングをオフにできないようにします。AWS Organizations で次のサービスコントロールポリシーを適用します。この SCP は、組織全体の StopLogging および DeleteTrail アクションに明示的な拒否ルールを設定します。

    {
"Version": "2012-10-17",
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}