AWS CloudTrail

AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を可能にするサービスです。 CloudTrailを使用すると、お客様は AWS インフラストラクチャ全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングし AWS Management Console、保持できます。 は、、AWS SDKs、コマンドラインツール、その他の AWS のサービスを通じて実行されたアクションなど、AWS アカウントアクティビティのイベント履歴 CloudTrail を提供します。このイベント履歴により、セキュリティ分析、リソース変更の追跡、トラブルシューティングが簡素化されます。

AWS CloudTrail は、すべての AWS アカウントでの使用が有効になっており、AWS BAA の要求に応じて監査ログ記録に使用できます。特定の証跡は、 CloudTrail コンソールまたは AWS コマンドラインインターフェイスを使用して作成する必要があります。 は、転送中および保管時のすべてのトラフィックを、暗号化された証跡の作成時に CloudTrail 暗号化します。PHI を記録する可能性のある が存在する場合は、暗号化された証跡を作成する必要があります。

デフォルトでは、暗号化された証跡は、Amazon S3 によるサーバー側の暗号化 (SSE-S3) マネージドキーを使用して Amazon S3 にエントリを保存します。キーに対する追加の管理が必要な場合は、 AWS KMSマネージドキー (SSE-KMS) を使用して設定することもできます。AWS ログエントリ CloudTrail の最終送信先と同様に、PHI を処理するアーキテクチャの重要なコンポーネントであるログファイルの CloudTrail 整合性検証を有効にし、関連する CloudTrail ダイジェストファイルを定期的に確認する必要があります。有効にすると、ログファイルが変更されていないという肯定的なアサーションを確立できます。