AWS CloudTrail による AWS Systems Manager API コールのログ記録 - AWS Systems Manager

AWS CloudTrail による AWS Systems Manager API コールのログ記録

Systems Manager は AWS CloudTrail と統合されています。このサービスは、AWS 内でユーザーやロール、または Systems Manager のサービスによって実行されたアクションを記録するサービスです。CloudTrail は、Systems Manager コンソールからのコールや、Systems Manager API へのコード呼び出しを含む、Systems Manager のすべての API コールをイベントとしてキャプチャします。証跡を作成する場合は、S3 バケットへの CloudTrail イベント (Systems Manager のイベントなど) の継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、Systems Manager に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

CloudTrail の詳細については、「AWS CloudTrail User Guide」を参照してください。

CloudTrail 内の Systems Manager 情報

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Systems Manager でアクティビティが発生すると、そのアクティビティは [Event history] の AWS の他のサービスのイベントとともに CloudTrail イベントに記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

Systems Manager のイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した S3 バケットにログファイルが配信されます。さらに、より詳細な分析と CloudTrail ログで収集されたデータに基づいた行動のために AWS のその他のサービスを設定できます。詳細については、以下を参照してください。

Systems Manager アクションはすべて CloudTrail によって記録されます。また、これらのアクションは『AWS Systems Manager API リファレンス』で説明されています。たとえば、CreateMaintenanceWindowsPutInventorySendCommand、および StartSession アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。(Systems Manager API 呼び出しをモニターするための CloudTrail のセットアップの例については、「Amazon EventBridge を使用してセッションアクティビティを監視する (コンソール) 」を参照してください。)

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

  • リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

  • リクエストが、別の AWS サービスによって送信されたかどうか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

Systems Manager ログファイルエントリの概要

証跡は、指定した S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

以下の例は、米国東部 (オハイオ) リージョン (us-east-2) にある example-Document という名前のドキュメントの DeleteDocuments アクションを示す CloudTrail ログエントリを示しています。

{ "eventVersion": "1.04", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11", "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-03-06T20:19:16Z" }, "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:iam::123456789012:role/example-role", "accountId": "123456789012", "userName": "example-role" } } }, "eventTime": "2018-03-06T20:30:12Z", "eventSource": "ssm.amazonaws.com", "eventName": "DeleteDocument", "awsRegion": "us-east-2", "sourceIPAddress": "203.0.113.11", "userAgent": "example-user-agent-string", "requestParameters": { "name": "example-Document" }, "responseElements": null, "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE", "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE", "resources": [ { "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document", "accountId": "123456789012" } ], "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }