翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS AppConfigを使用したAWS CloudTrailAPI コールのログ記録
AWS AppConfig は、 のユーザーAWS CloudTrail、ロール、または AWSのサービスによって実行されたアクションを記録するサービスである と統合されていますAWS AppConfig。 は、 のすべての API コールをイベントAWS AppConfigとして CloudTrail キャプチャします。キャプチャされたコールには、AWS AppConfig コンソールのコールと、AWS AppConfig API オペレーションへのコードのコールが含まれます。証跡を作成する場合は、 の CloudTrailイベントなど、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができますAWS AppConfig。証跡を設定しない場合でも、イベント履歴 で CloudTrail コンソールで最新のイベントを表示できます。 で収集された情報を使用して CloudTrail、 に対するリクエストAWS AppConfig、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
の詳細については CloudTrail、「 AWS CloudTrailユーザーガイド」を参照してください。
AWS AppConfig 内の情報 CloudTrail
CloudTrail アカウントを作成するAWS アカウントと、 は で有効になります。でアクティビティが発生するとAWS AppConfig、そのアクティビティは CloudTrail イベント履歴 の他のAWSサービスイベントとともに イベントに記録されます。 最近のイベントは、AWS アカウント で表示、検索、ダウンロードできます。詳細については、「イベント履歴 での CloudTrail イベントの表示」を参照してください。
AWS AppConfig のイベントなど、AWS アカウント のイベントの継続的な記録に対して、追跡を作成します。証跡により、 はログファイル CloudTrail を Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョン に適用されます。証跡は、AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うように他の AWSサービスを設定できます。詳細については、次を参照してください:
すべての AWS AppConfig アクションは によってログに記録 CloudTrail され、 AWS AppConfig API リファレンス に記載されています。例えば、 および ListApplicationsアクションを呼び出すGetApplicationとCreateApplication、 CloudTrail ログファイルにエントリが生成されます。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するために役立ちます。
-
リクエストが、ルート認証情報と AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたか。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが、別の AWS サービスによって送信されたかどうか。
詳細については、「CloudTrail userIdentity 要素」を参照してください。
AWS AppConfig での データイベント CloudTrail
データイベントは、リソースで、またはリソースで実行されたリソースオペレーションに関する情報を提供します (例えば、 を呼び出してデプロイされた最新の設定を取得するなど GetLatestConfiguration)。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。デフォルトでは、 CloudTrail はデータイベントを記録しません。 CloudTrail イベント履歴にはデータイベントは記録されません。
追加の変更がイベントデータに適用されます。 CloudTrail 料金の詳細については、「 AWS CloudTrailの料金
CloudTrail コンソール、AWS CLI、または CloudTrail API オペレーションを使用して、AWS AppConfigリソースタイプのデータイベントをログに記録できます。このセクションの表は、 で使用できるリソースタイプを示していますAWS AppConfig。
-
CloudTrail コンソールを使用してデータイベントを記録するには、証跡またはイベントデータストアを作成してデータイベントを記録するか、既存の証跡またはイベントデータストアを更新してデータイベントをログに記録します。
-
データイベントを選択して、データイベントをログに記録します。
-
データイベントタイプのリストから、 を選択しますAWS AppConfig。
-
使用するログセレクタテンプレートを選択します。リソースタイプのすべてのデータイベントをログに記録する、すべての
readOnlyイベントをログに記録する、すべてのwriteOnlyイベントをログに記録するeventName、またはreadOnly、、およびresources.ARNフィールドでフィルタリングするカスタムログセレクタテンプレートを作成できます。 -
セレクタ名 に、 と入力しますAppConfigDataEvents。データイベント証跡の Amazon CloudWatch Logs を有効にする方法については、「」を参照してくださいAWS AppConfig データプレーン呼び出しのログ記録メトリクス。
-
-
を使用してデータイベントをログに記録するにはAWS CLI、
eventCategoryフィールドをDataに、resources.typeフィールドをリソースタイプ値に等しく設定するように--advanced-event-selectorsパラメータを設定します (表 を参照)。、readOnly、eventNameおよびresources.ARNフィールドの値でフィルタリングする条件を追加できます。-
データイベントを記録するように証跡を設定するには、 put-event-selectors コマンドを実行します。詳細については、「 を使用した証跡のデータイベントのログ記録AWS CLI」を参照してください。
-
データイベントをログに記録するようにイベントデータストアを設定するには、 create-event-data-store コマンドを実行してデータイベントをログに記録する新しいイベントデータストアを作成するか、 update-event-data-store コマンドを実行して既存のイベントデータストアを更新します。詳細については、「 を使用したイベントデータストアのデータイベントのログ記録AWS CLI」を参照してください。
-
以下の表に示しているのは、AWS AppConfig リソースタイプです。データイベントタイプ (コンソール) 列には、 CloudTrail コンソールのデータイベントタイプリストから選択する値が表示されます。resources.type 値列には、 AWS CLIまたは CloudTrail APIsを使用して高度なイベントセレクタを設定するときに指定する resources.type値が表示されます。列にログ記録された Data APIs CloudTrail には、リソースタイプについて に CloudTrailログ記録された API コールが表示されます。
| データイベントタイプ (コンソール) | resources.type 値 | ログに記録されたデータ APIs CloudTrail* |
|---|---|---|
| AWS AppConfig |
AWS::AppConfig::Configuration
|
* 、eventName、および resources.ARNフィールドでフィルタリングしてreadOnly、自分にとって重要なイベントのみをログに記録するように高度なイベントセレクタを設定できます。フィールドの詳細については、「AdvancedFieldSelector」を参照してください。
AWS AppConfig での 管理イベント CloudTrail
管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての情報が得られます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。デフォルトでは、 は管理イベント CloudTrail を記録します。
AWS AppConfig は、すべてのAWS AppConfigコントロールプレーンオペレーションを管理イベントとして記録します。が に記録するAWS AppConfigコントロールプレーンオペレーションのリストについては CloudTrail、AWS AppConfigAWS AppConfig「 API リファレンス」を参照してください。
AWS AppConfig ログファイルエントリについて
証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
次の例は、 StartConfigurationSessionアクションを示す CloudTrail ログエントリを示しています。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Administrator", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": {}, "attributes": { "creationDate": "2024-01-11T14:37:02Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-01-11T14:45:15Z", "eventSource": "appconfig.amazonaws.com", "eventName": "StartConfigurationSession", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.0", "userAgent": "Boto3/1.34.11 md/Botocore#1.34.11 ua/2.0 os/macos#22.6.0 md/arch#x86_64 lang/python#3.11.4 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.34.11", "requestParameters": { "applicationIdentifier": "rrfexample", "environmentIdentifier": "mexampleqe0", "configurationProfileIdentifier": "3eexampleu1" }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "eventID": "a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE", "readOnly": false, "resources": [ { "accountId": "123456789012", "type": "AWS::AppConfig::Configuration", "ARN": "arn:aws:appconfig:us-east-1:123456789012:application/rrfexample/environment/mexampleqe0/configuration/3eexampleu1" } ], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "appconfigdata.us-east-1.amazonaws.com" } }
