AWS Systems Manager による AWS CloudTrail API 呼び出しのログ記録 - AWS Systems Manager

AWS Systems Manager による AWS CloudTrail API 呼び出しのログ記録

AWS Systems Manager は、Systems Manager のユーザー、ロール、または AWS のサービスによって実行されたアクションを記録するサービスである AWS CloudTrail と統合されています。CloudTrail は、Systems Manager コンソールからの呼び出しや Systems Manager API へのコード呼び出しを含む、Systems Manager のすべての API 呼び出しをイベントとしてキャプチャします。証跡を作成する場合は、Systems Manager のイベントなど、S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、Systems Manager に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

CloudTrail の詳細については、AWS CloudTrail ユーザーガイドを参照してください。

CloudTrail での Systems Manager 情報

CloudTrail は、アカウント作成時に AWS アカウント でアクティブ化されます。Systems Manager でアクティビティが発生すると、そのアクティビティは [イベント履歴] 内の他の AWS のサービスのイベントと共に CloudTrail イベントに記録されます。最近のイベントは、 で表示、検索、ダウンロードできますAWS アカウント 詳細については、AWS CloudTrail ユーザーガイドの「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS アカウント のイベント (Systems Manager のイベントなど) を継続的に記録するには、証跡を作成します。証跡により、CloudTrail はログファイルを S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての に適用されますAWS リージョン 追跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した S3 バケットにログファイルが配信されます。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。詳細については、以下を参照してください。

すべての Systems Manager アクションは CloudTrail によってログに記録され、AWS Systems Manager API Reference に文書化されます。例えば、CreateMaintenanceWindowsPutInventorySendCommandStartSession の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。Systems Manager API コールをモニタリングするために CloudTrail を設定する例については、「Amazon EventBridge を使用してセッションアクティビティをモニタリングする (コンソール) 」を参照してください。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。このアイデンティティ情報は、次のことを確認する役に立ちます。

  • 要求が、AWS アカウント ルートのユーザー認証情報と IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストが、ロールおよびフェデレーティッドユーザーの一時的なセキュリティ認証情報を使用して送信されたかどうか。

  • リクエストが、別の AWS サービスによって送信されたかどうか。

詳細については、CloudTrail userIdentity エレメントを参照してください。

Systems Manager のログファイルエントリについて

証跡は、指定した S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail ログファイルには、1 つ以上のログエントリがあります。各イベントは任意の送信元からの単一のリクエストを表し、リクエストされたオペレーション、オペレーションの日時、リクエストパラメーターなどに関する情報を含みます。CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序では表示されません。

例 1: DeleteDocument

次の例は、米国東部 (オハイオ) リージョン (us-east-2) での example-Document という名前のドキュメントに対する DeleteDocument オペレーションを示す CloudTrail ログエントリを示しています。

{ "eventVersion": "1.04", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11", "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-03-06T20:19:16Z" }, "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:iam::123456789012:role/example-role", "accountId": "123456789012", "userName": "example-role" } } }, "eventTime": "2018-03-06T20:30:12Z", "eventSource": "ssm.amazonaws.com", "eventName": "DeleteDocument", "awsRegion": "us-east-2", "sourceIPAddress": "203.0.113.11", "userAgent": "example-user-agent-string", "requestParameters": { "name": "example-Document" }, "responseElements": null, "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE", "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE", "resources": [ { "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document", "accountId": "123456789012" } ], "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

例 2: StartConnection

次の例では、米国東部 (オハイオ) リージョン (us-east-2) で Fleet Manager を使用して RDP 接続を開始するユーザーの CloudTrail ログエントリを示しています。基本となる API アクションは StartConnection です。

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole", "accountId": "123456789012", "userName": "exampleRole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2021-12-13T14:57:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2021-12-13T16:50:41Z", "eventSource": "ssm-guiconnect.amazonaws.com", "eventName": "StartConnection", "awsRegion": "us-east-2", "sourceIPAddress": "34.230.45.60", "userAgent": "example-user-agent-string", "requestParameters": { "AuthType": "Credentials", "Protocol": "RDP", "ConnectionType": "SessionManager", "InstanceId": "i-02573cafcfEXAMPLE" }, "responseElements": { "ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE", "ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE", "ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE", "requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE" }, "requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE", "eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" }