AWS CloudTrail を使用して Amazon WorkDocs API コールをログに記録する - Amazon WorkDocs
CloudTrail の WorkDocs 情報WorkDocs ログファイルエントリについて

注意: 新しい顧客のサインアップとアカウントのアップグレードは、Amazon WorkDocs では利用できなくなりました。移行手順については、WorkDocs からデータを移行する方法」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail を使用して Amazon WorkDocs API コールをログに記録する

を使用して AWS CloudTrail、Amazon WorkDocs API コールをログに記録できます。CloudTrail は、WorkDocs でユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を提供します。CloudTrail はWorkDocs コンソールからの呼び出しや WorkDocs API へのコード呼び出しを含むWorkDocs のすべての APIs。

証跡を作成する場合は、WorkDocs のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を作成しない場合でも、CloudTrail コンソールの イベント履歴で最新のイベントを表示することはできます。

CloudTrail が収集する情報には、リクエスト、リクエストが行われた IP アドレス、リクエストを行ったユーザー、リクエストの日付が含まれます。

CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail の WorkDocs 情報

CloudTrail は、 AWS アカウントの作成時にアカウントで有効になります。WorkDocs でアクティビティが発生すると、そのアクティビティはイベント履歴の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「CloudTrail Event 履歴でのイベントの表示」を参照してください。

WorkDocs のイベントなど、 AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、ログファイルを CloudTrail で Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべてのリージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように他の AWS サービスを設定できます。詳細については、以下を参照してください。

すべての WorkDocs アクションは CloudTrail によってログに記録され、Amazon WorkDocs API リファレンスに記載されています。例えば、CreateFolderDeactivateUser、および UpdateDocument セクションを呼び出すと、 CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。同一性情報は次の判断に役立ちます。

  • リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストがロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して行われたかどうか。

  • リクエストが別の AWS サービスによって行われたかどうか。

詳細については、「CloudTrail userIdentity エレメント」を参照してください。

WorkDocs ログファイルエントリについて

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントはあらゆるソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどの情報が含まれます。CloudTrail ログファイルは、公開 API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

WorkDocs は、コントロールプレーンからのエントリとデータプレーンからのエントリの異なるタイプの CloudTrail エントリを生成します。2 つの重要な違いは、コントロールプレーンのユーザー ID が IAM ユーザーであることです。データプレーンエントリのユーザー ID は WorkDocs ディレクトリユーザーです。

注記

セキュリティを強化するために、可能な限り IAM ユーザーではなくフェデレーティッドユーザーを作成してください。

パスワード、認証トークン、ファイルコメント、ファイルコンテンツなどの機密情報は、ログエントリには表示されません。これらは CloudTrail ログに HIDDEN_DUE_TO_SECURITY_REASONS として表示されます。これらは CloudTrail ログに HIDDEN_DUE_TO_SECURITY_REASONS として表示されます。

次の例は、WorkDocs の 2 つの CloudTrail ログエントリを示しています。最初のレコードはコントロールプレーンアクション用、2 つ目はデータプレーンアクション用です。

{
  Records : [
    {
      "eventVersion" : "1.01",
      "userIdentity" :
      {
        "type" : "IAMUser",
        "principalId" : "user_id",
        "arn" : "user_arn",
        "accountId" : "account_id",
        "accessKeyId" : "access_key_id",
        "userName" : "user_name"
      },
      "eventTime" : "event_time",
      "eventSource" : "workdocs.amazonaws.com",
      "eventName" : "RemoveUserFromGroup",
      "awsRegion" : "region",
      "sourceIPAddress" : "ip_address",
      "userAgent" : "user_agent",
      "requestParameters" :
      {
        "directoryId" : "directory_id",
        "userSid" : "user_sid",
        "group" : "group"
      },
      "responseElements" : null,
      "requestID" : "request_id",
      "eventID" : "event_id"
    },
    {
      "eventVersion" : "1.01",
      "userIdentity" :
      {
        "type" : "Unknown",
        "principalId" : "user_id",
        "accountId" : "account_id",
        "userName" : "user_name"
      },
      "eventTime" : "event_time",
      "eventSource" : "workdocs.amazonaws.com",      
      "awsRegion" : "region",
      "sourceIPAddress" : "ip_address",
      "userAgent" : "user_agent",
      "requestParameters" :
      {
        "AuthenticationToken" : "**-redacted-**"
      },
      "responseElements" : null,
      "requestID" : "request_id",
      "eventID" : "event_id"
    }
  ]
}