AWS RAM による AWS CloudTrail API コールのログ記録

AWS RAM は AWS CloudTrail という、AWS RAM の ユーザーやロール、または AWS のサービスによって実行されたアクションを記録するサービスと統合しています。CloudTrail は、AWS RAM のすべての API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、AWS RAM コンソールの呼び出しと、AWS RAM API オペレーションへのコード呼び出しが含まれます。追跡を作成する場合は、AWS RAM のイベントなど、指定する Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの [Event history] (イベント履歴) で最新のイベントを表示できます。CloudTrail で収集される情報を利用すると、具体的には AWS RAM へのリクエスト、リクエスト元の IP アドレス、リクエスト、リクエスト日時、その他の詳細を把握できます。

CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail での AWS RAM 情報

CloudTrail は、アカウント作成時に AWS アカウント で有効になります。AWS RAM でアクティビティが発生すると、そのアクティビティは [Event history] (イベント履歴) の他の AWS のサービスのイベントとともに CloudTrail イベントに記録されます。最近のイベントは、 で表示、検索、ダウンロードできますAWS アカウント 詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS RAM のイベントなど、AWS アカウント のイベントの継続的な記録については、追跡を作成します。追跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべての AWS リージョンに適用されます。追跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。詳細については、以下を参照してください。

• AWS アカウント の追跡の作成

• AWS のサービス と CloudTrail ログの統合

• Amazon SNS の CloudTrail の通知の設定‭

• 「Receiving CloudTrail log files from multiple Regions(CloudTrail ログファイルを複数のリージョンから受け取る)」、「Receiving CloudTrail log files from multiple accounts(複数のアカウントから CloudTrail ログファイルを受け取る)」

すべての AWS RAM アクションは CloudTrail によってログに記録され、AWS RAMAPI リファレンスに記録されます。例えば、CreateResourceShare、AssociateResourceShare、EnableSharingWithAwsOrganization の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストを行ったユーザーに関する情報が含まれます。

• AWS アカウント ルート認証情報

• AWS Identity and Access Management (IAM) ロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報

• IAM ユーザーからの長期的なセキュリティ認証情報

• 別の AWS のサービス

詳細については、「CloudTrail userIdentity 要素」を参照してください。

AWS RAM ログファイルエントリの理解

追跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルには、単一か複数のログエントリがあります。イベントはあらゆるソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどの情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、CreateResourceShare アクションの CloudTrail ログエントリを示しています。

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "NOPIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/admin",
        "accountId": "111122223333",
        "accessKeyId": "BCDIOSFODNN7EXAMPLE",
        "userName": "admin"
    },
    "eventTime": "2018-11-03T04:23:19Z",
    "eventSource": "ram.amazonaws.com",
    "eventName": "CreateResourceShare",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.1.0",
    "userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
    "requestParameters": {
        "name": "foo"
    },
    "responseElements": {
        "resourceShare": {
            "allowExternalPrincipals": true,
            "name": "foo",
            "owningAccountId": "111122223333",
            "resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
            "status": "ACTIVE"
        }
    },
    "requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
    "eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}