翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudTrail を使用した AWS Backup API コールのログ記録
AWS Backup は[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)、ユーザー、ロール、またはサービスサービスによって実行されたアクションを記録する AWS サービスと統合されています。CloudTrail は、 のすべての API コールをイベント AWS Backup としてキャプチャします。キャプチャされた呼び出しには、 AWS Backup コンソールからの呼び出しと AWS Backup API オペレーションへのコード呼び出しが含まれます。CloudTrail で収集された情報を使用して、リクエストの実行元の IP アドレス AWS Backup、リクエストの実行日時などの詳細を確認できます。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
+ ルートユーザーまたはユーザー認証情報のどちらを使用してリクエストが送信されたか。
+ リクエストが IAM Identity Center ユーザーに代わって行われたかどうか。
+ リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
+ リクエストが別の AWS サービスによって行われたかどうか。
CloudTrail は、アカウントを作成する AWS アカウント と でアクティブになり、CloudTrail **イベント履歴**に自動的にアクセスできます。CloudTrail の **[イベント履歴]** では、 AWS リージョンで過去 90 日間に記録された管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail イベント履歴の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。**[イベント履歴]** の閲覧には CloudTrail の料金はかかりません。
AWS アカウント 過去 90 日間のイベントの継続的な記録については、証跡または [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) イベントデータストアを作成します。
**CloudTrail 証跡**
*証跡*により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。を使用して作成された証跡はすべてマルチリージョン AWS マネジメントコンソール です。 AWS CLIを使用する際は、単一リージョンまたは複数リージョンの証跡を作成できます。アカウント AWS リージョン 内のすべての でアクティビティをキャプチャするため、マルチリージョン証跡を作成することをお勧めします。単一リージョンの証跡を作成する場合、証跡の AWS リージョンに記録されたイベントのみを表示できます。証跡の詳細については、「*AWS CloudTrail ユーザーガイド*」の「[AWS アカウントの証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)」および「[組織の証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)」を参照してください。
証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から Amazon S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。Amazon S3 の料金に関する詳細については、「[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)」を参照してください。
**CloudTrail Lake イベントデータストア**
*[CloudTrail Lake]* を使用すると、イベントに対して SQL ベースのクエリを実行できます。CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを [Apache ORC](https://orc.apache.org/) 形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントは、*イベントデータストア*に集約されます。イベントデータストアは、[高度なイベントセレクタ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors)を適用することによって選択する条件に基づいた、イベントのイミュータブルなコレクションです。どのイベントが存続し、クエリに使用できるかは、イベントデータストアに適用するセレクタが制御します。CloudTrail Lake の詳細については、 *AWS CloudTrail ユーザーガイド*の[AWS CloudTrail 「Lake の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html)」を参照してください。
CloudTrail Lake のイベントデータストアとクエリにはコストがかかります。イベントデータストアを作成する際に、イベントデータストアに使用する[料金オプション](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option)を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
## AWS Backup CloudTrail のイベント
AWS Backup は、バックアップ、復元、コピー、スキャン、または通知を実行すると、これらの CloudTrail イベントを生成します。これらのイベントは、必ずしも AWS Backup パブリック APIs を使用して生成されるわけではありません。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[AWS service events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/non-api-aws-service-events.html)」を参照してください。
+ `AssociateBackupVaultMpaApprovalTeamCompleted`
+ `AssociateBackupVaultMpaApprovalTeamFailed`
+ `BackupDeleted`
+ `BackupJobCompleted`
+ `BackupJobStarted`
+ `BackupSelectionDeletedDueToSLRDeletion`
+ `BackupTransitionedToCold`
+ `CopyJobCompleted`
+ `CopyJobStarted`
+ `CreateRestoreAccessBackupVaultFailed`
+ `DisassociateBackupVaultMpaApprovalTeamFailed`
+ `PutBackupVaultNotifications`
+ `RecoveryPointCreated`
+ `ReportJobCompleted`
+ `ReportJobStarted`
+ `RestoreAccessBackupVaultDeleted`
+ `RestoreCompleted`
+ `RestoreStarted`
+ `RevokeRestoreAccessBackupVaultFailed`
+ `ScanJobCompleted`
+ `ScanJobCreated`
+ `ScanJobFailed`
+ `ScanJobStarted`
## AWS Backup ログファイルエントリについて
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは、任意の出典からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序では表示されません。
以下の例は、`StartBackupJob`、`StartRestoreJob`、`DeleteRecoveryPoint` アクション、および `BackupJobCompleted` イベントを示す CloudTrail ログエントリです。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "Root",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:root",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-01-10T12:24:50Z"
}
}
},
"eventTime": "2019-01-10T13:45:24Z",
"eventSource": "backup.amazonaws.com",
"eventName": "StartBackupJob",
"awsRegion": "us-east-1",
"sourceIPAddress": "12.34.567.89",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.465 Linux/4.9.124-0.1.ac.198.73.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.192-b12 java/1.8.0_192",
"requestParameters": {
"backupVaultName": "Default",
"resourceArn": "arn:aws:ec2:us-east-1:123456789012:volume/vol-00a422a05b9c6asd3",
"iamRoleArn": "arn:aws:iam::123456789012:role/AWSBackup",
"startWindowMinutes": 60
},
"responseElements": {
"backupJobId": "8a3c2a87-b23e-4d56-b045-fa9e88ede4e6",
"creationDate": "Jan 10, 2019 1:45:24 PM"
},
"requestID": "98cf4d59-8c76-49f7-9201-790743931234",
"eventID": "fe8146a5-7812-4a95-90ad-074498be1234",
"eventType": "AwsApiCall",
"recipientAccountId": "account-id"
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "Root",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:root",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-01-10T12:24:50Z"
}
}
},
"eventTime": "2019-01-10T13:49:50Z",
"eventSource": "backup.amazonaws.com",
"eventName": "StartRestoreJob",
"awsRegion": "us-east-1",
"sourceIPAddress": "12.34.567.89",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.465 Linux/4.9.124-0.1.ac.198.73.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.192-b12 java/1.8.0_192",
"requestParameters": {
"recoveryPointArn": "arn:aws:ec2:us-east-1::snapshot/snap-00a129455bdbc9d99",
"metadata": {
"volumeType": "gp2",
"availabilityZone": "us-east-1b",
"volumeSize": "100"
},
"iamRoleArn": "arn:aws:iam::123456789012:role/AWSBackup",
"idempotencyToken": "a9c8b4fb-d369-4a58-944b-942e442a8fe3",
"resourceType": "EBS"
},
"responseElements": {
"restoreJobId": "9808E090-8C76-CCB8-4CEA-407CF6AC4C43"
},
"requestID": "783ddddc-6d7e-4539-8fab-376aa9668543",
"eventID": "ff35ddea-7577-4aec-a132-964b7e9dd423",
"eventType": "AwsApiCall",
"recipientAccountId": "account-id"
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "Root",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:root",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-01-10T12:24:50Z"
}
}
},
"eventTime": "2019-01-10T14:52:42Z",
"eventSource": "backup.amazonaws.com",
"eventName": "DeleteRecoveryPoint",
"awsRegion": "us-east-1",
"sourceIPAddress": "12.34.567.89",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.465 Linux/4.9.124-0.1.ac.198.73.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.192-b12 java/1.8.0_192",
"requestParameters": {
"backupVaultName": "Default",
"recoveryPointArn": "arn:aws:ec2:us-east-1::snapshot/snap-05f426fd9daab3433"
},
"responseElements": null,
"requestID": "f1f1b33a-48da-436c-9a8f-7574f1ab5fd7",
"eventID": "2dd70080-5aba-4a79-9a0f-92647c9f0846",
"eventType": "AwsApiCall",
"recipientAccountId": "account-id"
},
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "123456789012",
"invokedBy": "backup.amazonaws.com"
},
"eventTime": "2019-01-10T08:24:39Z",
"eventSource": "backup.amazonaws.com",
"eventName": "BackupJobCompleted",
"awsRegion": "us-east-1",
"sourceIPAddress": "backup.amazonaws.com",
"userAgent": "backup.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "2e7e4fcf-0c52-467f-9fd0-f61c2fcf7d17",
"eventType": "AwsServiceEvent",
"recipientAccountId": "account-id",
"serviceEventDetails": {
"completionDate": {
"seconds": 1547108091,
"nanos": 906000000
},
"state": "COMPLETED",
"percentDone": 100,
"backupJobId": "8A8E738B-A8C5-E058-8224-90FA323A3C0E",
"backupVaultName": "BackupVault",
"backupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:BackupVault",
"recoveryPointArn": "arn:aws:ec2:us-east-1::snapshot/snap-07ce8c3141d361233",
"resourceArn": "arn:aws:ec2:us-east-1:123456789012:volume/vol-06692095a6a421233",
"creationDate": {
"seconds": 1547101638,
"nanos": 272000000
},
"backupSizeInBytes": 8589934592,
"iamRoleArn": "arn:aws:iam::123456789012:role/AWSBackup",
"resourceType": "EBS"
}
}
```
## クロスアカウント管理イベントのログ記録
を使用すると AWS Backup、 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 構造 AWS アカウント 内のすべてのバックアップを管理できます。 は、 AWS Organizations バックアップポリシー (メンバーアカウントにバックアッププランを適用する) を作成、更新、または削除するとき、または無効な組織バックアッププランがある場合に、メンバーアカウントにこれらの CloudTrail イベント AWS Backup を生成します。
+ `CreateOrganizationalBackupPlan`
+ `UpdateOrganizationalBackupPlan`
+ `DeleteOrganizationalBackupPlan`
+ `InvalidOrganizationBackupPlan`
### 例: クロスアカウント管理用の AWS Backup ログファイルエントリ
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは、任意の出典からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
以下の例は、`CreateOrganizationalBackupPlan` アクションを示す CloudTrail ログエントリです。
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "123456789012",
"invokedBy": "backup.amazonaws.com"},
"eventTime": "2020-06-02T00:34:00Z",
"eventSource": "backup.amazonaws.com",
"eventName": "CreateOrganizationalBackupPlan",
"awsRegion": "ca-central-1",
"sourceIPAddress": "backup.amazonaws.com",
"userAgent": "backup.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "f2642255-af77-4203-8c37-7ca19d898e84",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "account-id",
"serviceEventDetails": {
"backupPlanId": "orgs/544033d1-b19c-3f2a-9c20-40bcfa82ca68",
"backupPlanVersionId": "ZTA1Y2ZjZDYtNmRjMy00ZTA1LWIyNTAtM2M1NzQ4OThmNzRj",
"backupPlanArn": "arn:aws:backup:ca-central-1:123456789012:backup-plan:orgs/544033d1-b19c-3f2a-9c20-40bcfa82ca68",
"backupPlanName": "mybackupplan",
"backupRules": "[{\"id\":\"745fd0ea-7f57-3f35-8a0e-ed4b8c48a8e2\",\"name\":\"hourly\",\"description\":null,\"cryopodArn\":\"arn:aws:backup:ca-central-1:123456789012:backup-vault:ControllerCAMTestBackupVault\",\"scheduleExpression\":\"cron(0 0/1 ? * * *)\",\"startWindow\":\"PT1H\",\"completionWindow\":\"PT2H\",\"lifecycle\":{\"moveToColdStorageAfterDays\":null,\"deleteAfterDays\":\"7\"},\"tags\":null,\"copyActions\":[]}]",
"backupSelections": "[{\"name\":\"selectiondatatype\",\"arn\":\"arn:aws:backup:ca-central-1:123456789012:selection:8b40c6d9-3641-3d49-926d-a075ea715686\",\"role\":\"arn:aws:iam::123456789012:role/OrganizationmyRoleTestRole\",\"resources\":[],\"notResources\":[],\"conditions\":[{\"type\":\"STRINGEQUALS\",\"key\":\"dataType\",\"value\":\"PII\"},{\"type\":\"STRINGEQUALS\",\"key\":\"dataType\",\"value\":\"RED\"}],\"creationDate\":\"2020-06-02T00:34:00.695Z\",\"creatorRequestId\":null}]",
"creationDate": {
"seconds": 1591058040,
"nanos": 695000000
},
"organizationId": "org-id",
"accountId": "123456789012"
}
}
```
以下の例は、`DeleteOrganizationalBackupPlan` アクションを示す CloudTrail ログエントリです。
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "123456789012",
"invokedBy": "backup.amazonaws.com"
},
"eventTime": "2020-06-02T00:34:25Z",
"eventSource": "backup.amazonaws.com",
"eventName": "DeleteOrganizationalBackupPlan",
"awsRegion": "ca-central-1",
"sourceIPAddress": "backup.amazonaws.com",
"userAgent": "backup.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "5ce66cd0-b90c-4957-8e00-96ea1077b4fa",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "account-id",
"serviceEventDetails": {
"backupPlanId": "orgs/544033d1-b19c-3f2a-9c20-40bcfa82ca68",
"backupPlanVersionId": "ZTA1Y2ZjZDYtNmRjMy00ZTA1LWIyNTAtM2M1NzQ4OThmNzRj",
"backupPlanArn": "arn:aws:backup:ca-central-1:123456789012:backup-plan:orgs/544033d1-b19c-3f2a-9c20-40bcfa82ca68",
"backupPlanName": "mybackupplan",
"deletionDate": {
"seconds": 1591058065,
"nanos": 519000000
},
"organizationId": "org-id",
"accountId": "123456789012"
}
}
```
次の例は、 が Organizations から無効なバックアッププラン AWS Backup を受信したときに`InvalidOrganizationBackupPlan`送信されるイベント を示す CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "123456789012",
"invokedBy": "backup.amazonaws.com"
},
"eventTime": "2022-06-11T13:29:23Z",
"eventSource": "backup.amazonaws.com",
"eventName": "InvalidOrganizationBackupPlan",
"awsRegion": "Region",
"sourceIPAddress": "backup.amazonaws.com",
"userAgent": "backup.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "ab1de234-fg56-7890-h123-45ij678k9l01",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "987654321098",
"serviceEventDetails": {
"effectivePolicyVersion": 7,
"effectivePolicyId": "12345678-a9b0-123c-45d6-78e901f23456",
"lastUpdatedTimestamp": "Jun 11, 2022 1:29:22 PM",
"policyType": "BACKUP_POLICY",
"effectiveBackupPlan": {
"logicalName": "logical-name",
"regions": [
"Region"
],
"rules": [
{
"name": "test-orgs",
"targetBackupVaultName": "vault-name",
"ruleLifecycle": {
"deleteAfterDays": 100
},
"copyActions": [],
"enableContinuousBackup": true
}
],
"selections": {
"tagSelections": [
{
"selectionName": "selection-name",
"iamRoleArn": "arn:aws:iam::$account:role/role",
"targetedTags": [
{
"tagKey": "key",
"tagValue": "value"
}
]
}
]
},
"backupPlanTags": {
"key": "value"
}
},
"organizationId": "org-id",
"accountId": "123456789012"
},
"eventCategory": "Management"
}
```