変更リクエストイベントのモニタリング - AWS Systems Manager

変更リクエストイベントのモニタリング

AWS CloudTrail Lake との統合を有効にしてイベントデータストアを作成すると、アカウントまたは組織で実行された変更リクエストに関する (監査可能な) 詳細を表示できます。これには、以下のような詳細情報が含まれます。

  • 変更リクエストを開始したユーザーの ID

  • 変更が行われた AWS リージョン

  • リクエストの送信元 IP アドレス

  • リクエストに使用された AWS アクセスキー

  • 変更リクエストで実行された API アクション

  • このアクションに含まれているリクエストパラメータ

  • 処理中に更新されたリソース

以下に、AWS CloudTrail Lake でイベントデータストアを作成した後に表示できる、変更リクエストに対応したイベント詳細の例を示します。

Details

以下の画像は、[Details] (詳細) タブに表示された、変更リクエストに関する概要情報を示しています。これらの詳細情報には、変更リクエストオペレーションの開始時刻、変更リクエストを開始したユーザーの ID、影響を受ける AWS リージョン、および、このリクエストに関連するイベント ID とリクエスト ID などが含まれます。

CloudTrail Lake からの変更リクエストの詳細。
Event record

次の図は、CloudTrail Lake が変更リクエストイベントのために提供する、JSON コンテンツの構造を示しています。このデータは、変更リクエストの [Event record] (イベントレコード) タブに表示されます。

CloudTrail Lake が提供する変更リクエストの JSON レコード。
重要

組織で Change Manager を使用している場合は、Change Manager の管理アカウントまたは委任管理者アカウントのいずれかでサインインした状態で、以下の手順を完了できます。

ただし、委任管理者アカウントを使用してこれらの手順を完了するには、CloudTrail と Change Manager の両方で、同じ委任管理者アカウントを指定しておく必要があります。

Change Manager の管理アカウントにサインインすると、CloudTrail の [Settings] (設定) ページから、委任管理者アカウントを追加または変更できます。この処理は、委任管理者アカウントが組織全体で使用するためのイベントデータストアを作成する前に実行しておく必要があります。

Change Manager から CloudTrail Lake のイベントトラッキングを有効にするには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Change Manager] を選択します。

  3. [Requests] (リクエスト) タブを選択します。

  4. 既存の変更リクエストを選択し、次に [Associated events] (関連付けられたイベント) タブを選択します。

  5. [Enable CloudTrail Lake] (CloudTrail Lake を有効にする) を選択します。

  6. 「AWS CloudTrail ユーザーガイド」の「CloudTrail イベント用のイベントデータストアの作成」の手順に従います。

    変更リクエストのイベントデータが確実に保存されるようにするには、手順を完了するときに次の選択を行ってください。

    • [イベントタイプ] で、デフォルトの [AWS イベント][CloudTrail イベント] が選択されたままにします。

    • 組織で Change Manager を使用している場合、[組織内のすべてのアカウントについて有効化] を選択します。

    • [管理イベント][書き込み] チェックボックスは、オンのままにしておきます。

    イベントデータストアを作成する際に選択した他のオプションは、変更リクエストのイベントデータの保存には影響しません。