このガイドのステップを完了するには、Amazon WorkDocs システム管理者である必要があります。Amazon の使用についてサポートが必要な場合は WorkDocs、Amazon WorkDocs WorkDocs ユーザーガイドの「Amazon を使い始める」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrail を使用した Amazon WorkDocs API 呼び出しのロギング
Amazon WorkDocs API コールのログに AWS CloudTrail を使用できます。CloudTrail では、Amazon WorkDocs のユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を確認できます。CloudTrail は、Amazon WorkDocs のコンソールからの呼び出しおよび Amazon WorkDocs の API へのコード呼び出しを含む、Amazon WorkDocs のすべての API コールをイベントとしてキャプチャします。
証跡を作成すると、Amazon WorkDocs のイベントを含め、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を作成しない場合でも、CloudTrail コンソールの イベント履歴で最新のイベントを表示することはできます。
CloudTrail が収集する情報には、リクエスト、リクエストが行われた IP アドレス、リクエストを行ったユーザー、リクエストの日付が含まれます。
CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。
CloudTrail の Amazon WorkDocs 情報
CloudTrail は、アカウントを作成すると AWS アカウントで有効になります。Amazon WorkDocs でアクティビティが発生する際には、そのアクティビティは [Event history] (イベント履歴) の他の AWS サービスのイベントとともに CloudTrail イベントに記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「Viewing events with CloudTrail event history」(CloudTrail イベント履歴でのイベントの表示) を参照してください。
Amazon WorkDocs のイベントを含む、 AWS アカウントにおけるイベントの継続的な記録用に、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべてのリージョンに適用されます。証跡は AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。詳細については、次を参照してください。
-
「Receiving CloudTrail log files from multiple Regions(CloudTrail ログファイルを複数のリージョンから受け取る)」、「Receiving CloudTrail log files from multiple accounts(複数のアカウントから CloudTrail ログファイルを受け取る)」
すべての Amazon WorkDocsの アクションは CloudTrail によってロギングされ、「Amazon WorkDocs API Reference」(Amazon WorkDocs API リファレンス) で文書化されます。例えば、CreateFolder、DeactivateUser、および UpdateDocument セクションを呼び出すと、 CloudTrail ログファイルにエントリが生成されます。
各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。同一性情報は次の判断に役立ちます。
-
リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。
-
リクエストがロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが、別の AWS のサービスによって送信されたかどうか。
詳細については、「CloudTrail userIdentity element」(CloudTrail userIdentity 要素) をご参照ください。
Amazon WorkDocs ログファイルエントリの理解
証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルには、単一か複数のログエントリがあります。イベントはあらゆるソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどの情報が含まれます。CloudTrail ログファイルは、公開 API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
Amazon WorkDocs は、コントロール プレーンからのものとデータ プレーンからのものという、さまざまなタイプの CloudTrail エントリを生成します。2 つの重要な違いは、コントロールプレーンのユーザー ID が IAM ユーザーであることです。データプレーンエントリ用のユーザー ID は Amazon WorkDocs ディレクトリユーザーです。
注記
セキュリティを強化するために、可能な限り IAM ユーザーの代わりにフェデレーティッドユーザーを作成してください。
パスワード、認証トークン、ファイルコメント、ファイルコンテンツなどの機密情報は、ログエントリには表示されません。これらは CloudTrail ログに HIDDEN_DUE_TO_SECURITY_REASONS として表示されます。これらは CloudTrail ログに HIDDEN_DUE_TO_SECURITY_REASONS として表示されます。
次の例は、Amazon WorkDocs の 2 つの CloudTrail ログエントリを示しています。最初の記録はコントロールプレーンのアクション用、2 番目の記録はデータプレーンのアクション用です。
{ Records : [ { "eventVersion" : "1.01", "userIdentity" : { "type" : "IAMUser", "principalId" : "user_id", "arn" : "user_arn", "accountId" : "account_id", "accessKeyId" : "access_key_id", "userName" : "user_name" }, "eventTime" : "event_time", "eventSource" : "workdocs.amazonaws.com", "eventName" : "RemoveUserFromGroup", "awsRegion" : "region", "sourceIPAddress" : "ip_address", "userAgent" : "user_agent", "requestParameters" : { "directoryId" : "directory_id", "userSid" : "user_sid", "group" : "group" }, "responseElements" : null, "requestID" : "request_id", "eventID" : "event_id" }, { "eventVersion" : "1.01", "userIdentity" : { "type" : "Unknown", "principalId" : "user_id", "accountId" : "account_id", "userName" : "user_name" }, "eventTime" : "event_time", "eventSource" : "workdocs.amazonaws.com", "awsRegion" : "region", "sourceIPAddress" : "ip_address", "userAgent" : "user_agent", "requestParameters" : { "AuthenticationToken" : "**-redacted-**" }, "responseElements" : null, "requestID" : "request_id", "eventID" : "event_id" } ] }
