AWS CloudTrail を使用した Amazon WorkDocs API コールのログ記録 - Amazon WorkDocs

注意: Amazon では、新しい顧客のサインアップとアカウントのアップグレードは利用できなくなりました WorkDocs。移行手順については、「Amazon からデータを移行する方法 WorkDocs」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail を使用した Amazon WorkDocs API コールのログ記録

を使用して AWS CloudTrail、Amazon WorkDocs API calls をログに記録します。 は、Amazon のユーザー、ロール、または AWS のサービスによって実行されたアクションの記録 CloudTrail を提供します WorkDocs。 は、Amazon WorkDocs コンソールからのAPI呼び出しや Amazon へのコード呼び出しを含む、Amazon のすべての呼び出しをイベント WorkDocs として CloudTrail キャプチャします WorkDocs APIs。

証跡を作成する場合は、Amazon の CloudTrail イベントなど、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます WorkDocs。 Amazon S3 証跡を作成しない場合でも、 CloudTrail コンソールのイベント履歴 で最新のイベントを表示できます。

によって収集される情報 CloudTrail には、リクエスト、リクエスト元の IP アドレス、リクエストを行ったユーザー、リクエストの日付が含まれます。

の詳細については CloudTrail、「 AWS CloudTrail ユーザーガイド」を参照してください。

の Amazon WorkDocs 情報 CloudTrail

CloudTrail AWS アカウントを作成すると、 がアカウントで有効になります。Amazon でアクティビティが発生すると WorkDocs、そのアクティビティは CloudTrail イベント履歴 の他の AWS サービスイベントとともにイベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「イベント履歴 を含む CloudTrail イベントの表示」を参照してください。

Amazon のイベントなど、 AWS アカウント内のイベントの継続的な記録については WorkDocs、証跡を作成します。証跡により CloudTrail 、 はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべてのリージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたイベントデータをさらに分析し、それに基づいて行動するように他の AWS サービスを設定できます。詳細については、以下を参照してください。

すべての Amazon WorkDocs アクションは によってログに記録 CloudTrail され、Amazon WorkDocs API リファレンス に記載されています。例えば、、、および UpdateDocumentセクションを呼び出すDeactivateUserCreateFolder、 CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:

  • リクエストがルート認証情報とIAMユーザー認証情報のどちらを使用して行われたか。

  • リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。

  • リクエストが別の AWS サービスによって行われたかどうか。

詳細については、CloudTrail userIdentity「」要素を参照してください。

Amazon WorkDocs ログファイルエントリについて

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

Amazon は、コントロールプレーンとデータプレーンから異なるタイプの CloudTrail エントリ WorkDocs を生成します。この 2 つの重要な違いは、コントロールプレーンエントリのユーザー ID が IAM ユーザーであることです。データプレーンエントリのユーザー ID は Amazon WorkDocs ディレクトリユーザーです。

注記

セキュリティを強化するには、可能な限りユーザーではなくフェデレーティッドIAMユーザーを作成します。

パスワード、認証トークン、ファイルコメント、ファイルコンテンツなどの機密情報は、ログエントリには表示されません。これらは CloudTrail ログに HIDDEN_DUE_TO_SECURITY_ REASONSとして表示されます。これらは CloudTrail ログに HIDDEN_DUE_TO_SECURITY_ REASONSとして表示されます。

次の例は、Amazon の 2 つの CloudTrail ログエントリを示しています WorkDocs。1 つ目のレコードはコントロールプレーンアクション用、2 つ目のレコードはデータプレーンアクション用です。

{ Records : [ { "eventVersion" : "1.01", "userIdentity" : { "type" : "IAMUser", "principalId" : "user_id", "arn" : "user_arn", "accountId" : "account_id", "accessKeyId" : "access_key_id", "userName" : "user_name" }, "eventTime" : "event_time", "eventSource" : "workdocs.amazonaws.com", "eventName" : "RemoveUserFromGroup", "awsRegion" : "region", "sourceIPAddress" : "ip_address", "userAgent" : "user_agent", "requestParameters" : { "directoryId" : "directory_id", "userSid" : "user_sid", "group" : "group" }, "responseElements" : null, "requestID" : "request_id", "eventID" : "event_id" }, { "eventVersion" : "1.01", "userIdentity" : { "type" : "Unknown", "principalId" : "user_id", "accountId" : "account_id", "userName" : "user_name" }, "eventTime" : "event_time", "eventSource" : "workdocs.amazonaws.com", "awsRegion" : "region", "sourceIPAddress" : "ip_address", "userAgent" : "user_agent", "requestParameters" : { "AuthenticationToken" : "**-redacted-**" }, "responseElements" : null, "requestID" : "request_id", "eventID" : "event_id" } ] }