翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用したオペレーションのログ記録 AWS CloudTrail
対象者: システム管理者 |
Amazon QuickSight は と統合されています AWS CloudTrail。このサービスは、Amazon のユーザー、ロール、または AWS サービスによって実行されたアクションの記録を提供します QuickSight。 は、Amazon のすべての API コールをイベント QuickSight として CloudTrail キャプチャします。キャプチャされた呼び出しには、Amazon QuickSight コンソールからの呼び出しと、Amazon QuickSight API オペレーションへのすべてのコード呼び出しが含まれます。証跡を作成する場合は、Amazon の CloudTrail イベントなど、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます QuickSight。 Amazon S3 証跡を設定しない場合でも、 CloudTrail コンソールのイベント履歴 で最新のイベントを表示できます。で収集された情報を使用して CloudTrail、Amazon に対するリクエスト QuickSight、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
デフォルトでは、 によってバケット CloudTrail に配信されるログファイルは、Amazon S3-managedの暗号化キー (SSE-S3) による Amazon サーバー側の暗号化によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルに AWS KMS マネージドキーによるサーバー側の暗号化 (SSE-KMS) を使用できます。サーバー側の暗号化を有効にすると SSE-KMS、を使用してログファイルが暗号化されますが、ダイジェストファイルは暗号化されません。ダイジェストファイルは、Amazon S3 で管理された暗号化キー (SSE-S3) を使用して暗号化されます。
の設定と有効化の方法など CloudTrail、 の詳細については、AWS CloudTrail 「 ユーザーガイド」を参照してください。
トピック
の Amazon QuickSight 情報 CloudTrail
対象者: システム管理者 |
CloudTrail AWS アカウントを作成すると、 がアカウントで有効になります。Amazon でサポートされているイベントアクティビティが発生すると QuickSight、そのアクティビティは CloudTrail イベント履歴 の他の AWS サービスイベントとともにイベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「イベント履歴を使用した CloudTrail イベントの表示」を参照してください。
Amazon のイベントなど、 AWS アカウント内のイベントの継続的な記録については QuickSight、証跡を作成します。証跡により CloudTrail 、 はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたイベントデータをさらに分析し、それに基づいて行動するように他の AWS サービスを設定できます。詳細については、次を参照してください:
-
複数のリージョンからの CloudTrail ログファイルの受信と複数のアカウントからのログファイルの受信 CloudTrail
-
「 デベロッパーガイド」の「クロスアカウント CloudTrail ログ記録」 – このトピックには、クロスアカウント CloudTrail ログにプリンシパル ID を含める手順が含まれています。 AWS Lake Formation
Amazon QuickSight では、以下のアクションをイベントとして CloudTrail ログファイルに記録できます。
-
リクエストがルート認証情報と AWS Identity and Access Management ユーザー認証情報のどちらを使用して行われたか
-
リクエストが、IAM ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報によって行われたか
-
リクエストが別の AWS サービスによって行われたかどうか
ユーザー ID の詳細については、CloudTrail userIdentity Element」を参照してください。
デフォルトでは、各 Amazon QuickSight ログエントリには次の情報が含まれます。
-
userIdentity – ユーザー ID
-
eventTime – イベント時間
-
eventId – イベント ID
-
readOnly – 読み取り専用
-
awsRegion – AWS リージョン
-
eventSource (quicksight) – イベントのソース (Amazon QuickSight)
-
eventType (AwsServiceEvent) – イベントタイプ (AWS サービスイベント)
-
recipientAccountId (顧客 AWS アカウント) – 受信者アカウント ID (顧客 AWS アカウント)
注記
CloudTrail は、Amazon によってプロビジョニングされたunknown
かのようにユーザーを表示します QuickSight。このように表示されるのは、これらのユーザーが既知の IAM ID のタイプではないためです。
例: Amazon QuickSight ログファイルエントリ
証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
次の例は、 アクションを示す CloudTrail BatchCreateUserログエントリを示しています。
{ "eventVersion":"1.05", "userIdentity": { "type":"Root", "principalId":"123456789012", "arn":"arn:aws:iam::123456789012:root", "accountId":"123456789012", "userName":"test-username" }, "eventTime":"2017-04-19T03:16:13Z", "eventSource":"quicksight.amazonaws.com", "eventName":"BatchCreateUser", "awsRegion":"us-west-2", "requestParameters":null, "responseElements":null, "eventID":"e7d2382e-70a0-3fb7-9d41-a7a913422240", "readOnly":false, "eventType":"AwsServiceEvent", "recipientAccountId":"123456789012", "serviceEventDetails": { "eventRequestDetails": { "users": { "test-user-11": { "role":"USER" }, "test-user-22": { "role":"ADMIN" } } }, "eventResponseDetails": { "validUsers":[ ], "InvalidUsers":[ "test-user-11", "test-user-22" ] } } }