翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail のコンセプト
このセクションでは、CloudTrail に関連する概念について簡単に説明します。
概念:
CloudTrail のイベント
CloudTrail のイベントは、 AWS アカウントのアクティビティの記録です。このアクティビティは、IAM アイデンティティによるアクション、または CloudTrail が監視するサービスです。CloudTrail イベントは、、 AWS SDKs AWS Management Console、コマンドラインツール、およびその他の AWS サービスを通じて行われた API アカウントアクティビティと非 API アカウントアクティビティの両方の履歴を提供します。
CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
CloudTrail は 4 種類のイベントをログに記録します。
-
注記
ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。
すべてのイベントタイプで、CloudTrail JSON ログ形式が使用されます。
デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。
CloudTrail と AWS のサービス の統合方法については、「」を参照してくださいAWS のサービストピック CloudTrail。
管理イベント
管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。
管理イベントには、次のようなものがあります。
-
セキュリティの設定 (API AWS Identity and Access Management
AttachRolePolicy
オペレーションなど)。 -
デバイスの登録 (例: Amazon EC2
CreateDefaultVpc
API オペレーション)。 -
データをルーティングするルールの設定 (例: Amazon EC2
CreateSubnet
API オペレーション)。 -
ログ記録の設定 (API AWS CloudTrail
CreateTrail
オペレーションなど)。
管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、CloudTrail は ConsoleLogin
イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。
デフォルトでは、CloudTrail 証跡と CloudTrail Lake イベントデータはログ管理イベントを保存します。管理イベントのログ記録に関する詳細については、「管理イベントのログ記録」を参照してください。
データイベント
データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。
データイベントには、次のようなものがあります。
-
S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例:
GetObject
、DeleteObject
、PutObject
API オペレーション)。 -
AWS Lambda 関数実行アクティビティ (
Invoke
API)。 -
外部からの AWSイベントをログに記録するために使用される CloudTrail Lake チャネル での CloudTrail
PutAuditEvents
アクティビティ。 -
トピックに関する Amazon SNS
Publish
およびPublishBatch
API オペレーション。
次の表は、証跡とイベントデータストアで使用できるリソースタイプを示しています。リソースタイプ (コンソール) 列には、コンソールで適切な選択が表示されます。resources.type 値列には、 AWS CLI または CloudTrail APIs を使用して証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type
値が表示されます。
証跡の場合、ベーシックまたは高度なイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) の Amazon S3 オブジェクトのデータイベントのログを記録することができます。残りの行に表示されるリソースタイプをログに記録するには、高度なイベントセレクタのみを使用できます。
イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。
AWS のサービス | 説明 | リソースタイプ (コンソール) | resources.type 値 |
---|---|---|---|
Amazon DynamoDB | テーブルでの Amazon DynamoDB アイテムレベルの API アクティビティ (例: 注記ストリームが有効になっているテーブルの場合、データイベントの |
DynamoDB |
|
AWS Lambda | AWS Lambda 関数実行アクティビティ ( |
Lambda | AWS::Lambda::Function |
Amazon S3 | 汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: |
S3 | AWS::S3::Object |
AWS AppConfig |
|
AWS AppConfig | AWS::AppConfig::Configuration |
AWS AppSync | AppSync GraphQL API での APIs AWS AppSync アクティビティ。 |
AppSync GraphQL | AWS::AppSync::GraphQL |
AWS B2B データ交換 |
|
B2B データ交換 | AWS::B2BI::Transformer |
AWS Backup | AWS Backup 検索ジョブでの検索データ API アクティビティ。 |
AWS Backup データ APIsの検索 | AWS::Backup::SearchJob |
Amazon Bedrock | エージェントエイリアスでの Amazon Bedrock API アクティビティ。 | Bedrock エージェントエイリアス | AWS::Bedrock::AgentAlias |
Amazon Bedrock | 非同期呼び出しに対する Amazon Bedrock API アクティビティ。 | Bedrock 非同期呼び出し | AWS::Bedrock::AsyncInvoke |
Amazon Bedrock | フローエイリアスでの Amazon Bedrock API アクティビティ。 | [Bedrock フローエイリアス] | AWS::Bedrock::FlowAlias |
Amazon Bedrock | ガードレールでの Amazon Bedrock API アクティビティ。 | [Bedrock ガードレール] | AWS::Bedrock::Guardrail |
Amazon Bedrock | インラインエージェントの Amazon Bedrock API アクティビティ。 | Bedrock Invoke Inline-Agent | AWS::Bedrock::InlineAgent |
Amazon Bedrock | ナレッジベースでの Amazon Bedrock API アクティビティ。 | Bedrock ナレッジベース | AWS::Bedrock::KnowledgeBase |
Amazon Bedrock | モデルでの Amazon Bedrock API アクティビティ。 | [Bedrock モデル] | AWS::Bedrock::Model |
Amazon Bedrock | プロンプトに対する Amazon Bedrock API アクティビティ。 | Bedrock プロンプト | AWS::Bedrock::PromptVersion |
Amazon CloudFront | KeyValueStore での CloudFront API アクティビティ。 |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | 名前空間での AWS Cloud Map API アクティビティ。 | AWS Cloud Map 名前空間 |
|
AWS Cloud Map | サービスでの AWS Cloud Map API アクティビティ。 | AWS Cloud Map service |
|
AWS CloudTrail | 外部からの AWSイベントをログに記録するために使用される CloudTrail Lake チャネル での CloudTrail |
[CloudTrail チャネル] | AWS::CloudTrail::Channel |
アマゾン クラウドWatch | メトリクスに対する Amazon CloudWatch API アクティビティ。 |
[CloudWatch メトリクス] | AWS::CloudWatch::Metric |
Amazon CloudWatch RUM | アプリモニターでの Amazon CloudWatch RUM API アクティビティ。 |
[RUM アプリモニター] | AWS::RUM::AppMonitor |
Amazon CodeGuru Profiler | プロファイリンググループでの CodeGuru Profiler API アクティビティ。 | CodeGuru Profiler プロファイリンググループ | AWS::CodeGuruProfiler::ProfilingGroup |
Amazon CodeWhisperer | カスタマイズでの Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer のカスタマイズ | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | プロファイル上の Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。 |
Cognito アイデンティティプール | AWS::Cognito::IdentityPool |
AWS Data Exchange | AWS Data Exchange アセットに対する API アクティビティ。 |
[Data Exchange アセット] |
|
AWS Deadline Cloud | フリートでの Deadline Cloud API アクティビティ。 |
Deadline Cloud フリート |
|
AWS Deadline Cloud | ジョブでの Deadline Cloud API アクティビティ。 |
Deadline Cloud ジョブ |
|
AWS Deadline Cloud | キューでの Deadline Cloud API アクティビティ。 |
Deadline Cloud キュー |
|
AWS Deadline Cloud | ワーカーに対する Deadline Cloud API アクティビティ。 |
Deadline Cloud ワーカー |
|
Amazon DynamoDB | ストリームに対する Amazon DynamoDB API アクティビティ |
DynamoDB Streams | AWS::DynamoDB::Stream |
AWS エンドユーザーメッセージング SMS | 発信元 ID AWS に対する End User Messaging SMS API アクティビティ。 | [SMS Voice 発信元 ID] | AWS::SMSVoice::OriginationIdentity |
AWS エンドユーザーメッセージング SMS | メッセージに対するAWS エンドユーザーメッセージング SMS API アクティビティ。 | SMS Voice メッセージ | AWS::SMSVoice::Message |
AWS エンドユーザーメッセージングソーシャル | 電話番号 IDs に対する AWS End User Messaging Social API アクティビティ。 | [ソーシャルメッセージ電話番号 ID] | AWS::SocialMessaging::PhoneNumberId |
AWS エンドユーザーメッセージングソーシャル | AWS Waba IDs でのエンドユーザーメッセージングソーシャル API アクティビティ。 | ソーシャルメッセージング Waba ID | AWS::SocialMessaging::WabaId |
Amazon Elastic Block Store | Amazon EBS スナップショットの |
Amazon EBS ダイレクト API | AWS::EC2::Snapshot |
Amazon EMR | ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。 | EMR ログ先行書き込みワークスペース | AWS::EMRWAL::Workspace |
Amazon FinSpace | 環境に対する Amazon FinSpace API アクティビティ。 |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。 |
Lake Formation | AWS::Glue::Table |
アマゾン GuardDuty | 検出器 に対する Amazon GuardDuty API アクティビティ。 |
GuardDuty ディテクター | AWS::GuardDuty::Detector |
AWS HealthImaging | データストアでのAWS HealthImaging API アクティビティ。 |
[医療用画像データストア] | AWS::MedicalImaging::Datastore |
AWS IoT | IoT 証明書 | AWS::IoT::Certificate |
|
AWS IoT | モノに対する AWS IoT API アクティビティ。 |
[IoT モノ] | AWS::IoT::Thing |
AWS IoT Greengrass Version 2 | コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントのログを記録しません。 |
[IoT Greengrass コンポーネントバージョン] | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントのログを記録しません。 |
[IoT Greengrass デプロイ] | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | [IoT SiteWise アセット] | AWS::IoTSiteWise::Asset |
|
AWS IoT SiteWise | [IoT SiteWise 時系列] | AWS::IoTSiteWise::TimeSeries |
|
AWS IoT SiteWise アシスタント | 会話での Sitewise Assistant API アクティビティ。 |
Sitewise Assistant の会話 | AWS::SitewiseAssistant::Conversation |
AWS IoT TwinMaker | エンティティ上の IoT TwinMaker API アクティビティ。 |
[IoT TwinMaker エンティティ] | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | ワークスペース上の IoT TwinMaker API アクティビティ。 |
[IoT TwinMaker ワークスペース] | AWS::IoTTwinMaker::Workspace |
Amazon Kendra インテリジェントランキング | リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。 |
Kendra ランキング | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (Apache Cassandra 向け) | テーブル上の Amazon Keyspaces API アクティビティ。 | [Cassandra テーブル] | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | ストリーム 上の Kinesis Data Streams API アクティビティ。 | [Kinesis ストリーム] | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | ストリームコンシューマー上の Kinesis Data Streams API アクティビティ。 | [Kinesis ストリームコンシューマー] | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | GetMedia や PutMedia への呼び出しなど、ビデオストリーム上の Amazon Kinesis API アクティビティ。 |
Kinesis ビデオストリーム | AWS::KinesisVideo::Stream |
Amazon Location Maps | Amazon Location Maps API アクティビティ。 | ジオマップ | AWS::GeoMaps::Provider |
Amazon Location の場所 | Amazon Location Places API アクティビティ。 | 地理的場所 | AWS::GeoPlaces::Provider |
Amazon Location Routes | Amazon Location Routes API アクティビティ。 | 地域ルート | AWS::GeoRoutes::Provider |
Amazon Machine Learning | ML モデルの機械学習 API アクティビティ。 | [機械学習 MlModel] | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | ネットワーク上の Amazon Managed Blockchain API アクティビティ。 |
Managed Blockchain ネットワーク | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain |
|
Managed Blockchain | AWS::ManagedBlockchain::Node |
Amazon Managed Workflows for Apache Airflow | 環境での Amazon MWAA API アクティビティ。 |
マネージド Apache Airflow | AWS::MWAA::Environment |
Amazon Neptune Graph | Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。 |
Neptune Graph | AWS::NeptuneGraph::Graph |
Amazon One Enterprise | UKey の Amazon One Enterprise API アクティビティ。 |
[Amazon One UKey] | AWS::One::UKey |
Amazon One Enterprise | ユーザーの Amazon One Enterprise API アクティビティ。 |
[Amazon One User] | AWS::One::User |
AWS Payment Cryptography | AWS Payment Cryptography エイリアスの API アクティビティ。 | [Payment Cryptography Alias] | AWS::PaymentCryptography::Alias |
AWS Payment Cryptography | AWS Payment Cryptography キーに対する API アクティビティ。 | [Payment Cryptography Key] | AWS::PaymentCryptography::Key |
AWS Private CA | AWS Private CA Connector for Active Directory API アクティビティ。 |
AWS Private CA Connector for Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA SCEP API アクティビティ用のコネクタ。 |
AWS Private CA SCEP 用コネクタ | AWS::PCAConnectorSCEP::Connector |
Amazon Q Apps | Amazon Q Apps の Data API アクティビティ。 |
[Amazon Q Apps] | AWS::QApps::QApp |
Amazon Q Apps | Amazon Q App セッションのデータ API アクティビティ。 |
Amazon Q App セッション | AWS::QApps::QAppSession |
Amazon Q Business | アプリケーション上の Amazon Q Business API アクティビティ。 |
Amazon Q Business アプリケーション | AWS::QBusiness::Application |
Amazon Q Business | データソース上の Amazon Q Business API アクティビティ。 |
Amazon Q Business データソース | AWS::QBusiness::DataSource |
Amazon Q Business | インデックスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business インデックス | AWS::QBusiness::Index |
Amazon Q Business | ウェブエクスペリエンスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business ウェブエクスペリエンス | AWS::QBusiness::WebExperience |
Amazon Q Developer | 統合での Amazon Q Developer API アクティビティ。 |
Q Developer の統合 | AWS::QDeveloper::Integration |
Amazon Q Developer | 運用調査に関する Amazon Q Developer API アクティビティ。 |
AIOps 調査グループ | AWS::AIOps::InvestigationGroup |
Amazon RDS | DB クラスターでの Amazon RDS API アクティビティ。 |
[RDS Data API – DB クラスター] | AWS::RDS::DBCluster |
AWS Resource Explorer | マネージドビューでの Resource Explorer API アクティビティ。 |
AWS Resource Explorer マネージドビュー | AWS::ResourceExplorer2::ManagedView |
AWS Resource Explorer | ビューでの Resource Explorer API アクティビティ。 |
AWS Resource Explorer view (表示) | AWS::ResourceExplorer2::View |
Amazon S3 | アクセスポイントでの Amazon S3 API アクティビティ。 |
S3 アクセスポイント | AWS::S3::AccessPoint |
Amazon S3 | ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: |
[S3 Express] | AWS::S3Express::Object |
Amazon S3 |
|
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
Amazon S3 Tables | テーブルに対する Amazon S3 API アクティビティ。 |
S3 テーブル | AWS::S3Tables::Table |
Amazon S3 Tables | テーブルバケットでの Amazon S3 API アクティビティ。 |
S3 テーブルバケット | AWS::S3Tables::TableBucket |
Amazon S3 on Outposts | Amazon S3 on Outposts オブジェクトレベル API アクティビティ。 |
S3 Outposts | AWS::S3Outposts::Object |
Amazon SageMaker AI | エンドポイントでの Amazon SageMaker AI InvokeEndpointWithResponseStream アクティビティ。 |
SageMaker AI エンドポイント | AWS::SageMaker::Endpoint |
Amazon SageMaker AI | 特徴量ストアでの Amazon SageMaker AI API アクティビティ。 |
SageMaker AI 特徴量ストア | AWS::SageMaker::FeatureGroup |
Amazon SageMaker AI | 実験トライアルコンポーネントに対する Amazon SageMaker AI API アクティビティ。 |
SageMaker AI メトリクス実験トライアルコンポーネント | AWS::SageMaker::ExperimentTrialComponent |
AWS Signer | 署名ジョブに対する Signer API アクティビティ。 |
署名者署名ジョブ | AWS::Signer::SigningJob |
AWS Signer | 署名プロファイルに対する Signer API アクティビティ。 |
署名者署名プロファイル | AWS::Signer::SigningProfile |
Amazon SimpleDB | ドメインでの Amazon SimpleDB API アクティビティ。 |
SimpleDB ドメイン | AWS::SDB::Domain |
Amazon SNS | プラットフォームエンドポイントでの Amazon SNS |
SNS プラットフォームエンドポイント | AWS::SNS::PlatformEndpoint |
Amazon SNS | トピックに関する Amazon SNS |
SNS トピック | AWS::SNS::Topic |
Amazon SQS | メッセージでの Amazon SQS API アクティビティ。 |
SQS | AWS::SQS::Queue |
AWS Step Functions | アクティビティに対する Step Functions API アクティビティ。 |
Step Functions | AWS::StepFunctions::Activity |
AWS Step Functions | ステートマシンでの Step Functions API アクティビティ。 |
Step Functions ステートマシン | AWS::StepFunctions::StateMachine |
AWS Supply Chain | AWS Supply Chain インスタンスでの API アクティビティ。 |
[Supply Chain] | AWS::SCN::Instance |
Amazon SWF | [SWF ドメイン] | AWS::SWF::Domain |
|
AWS Systems Manager | コントロールチャネルでの Systems Manager API アクティビティ。 | Systems Manager | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | マネージドノードでの Systems Manager API アクティビティ。 | Systems Manager マネージドノード | AWS::SSM::ManagedNode |
Amazon Timestream | データベース上の Amazon Timestream Query API アクティビティ。 |
Timestream データベース | AWS::Timestream::Database |
Amazon Timestream | リージョンエンドポイントでの Amazon Timestream API アクティビティ。 | Timestream リージョンエンドポイント | AWS::Timestream::RegionalEndpoint |
Amazon Timestream | テーブル上の Amazon Timestream Query API アクティビティ。 |
Timestream テーブル | AWS::Timestream::Table |
Amazon Verified Permissions | ポリシーストア上の Amazon Verified Permissions API アクティビティ。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces Thin Client | デバイスでの WorkSpaces シンクライアント API アクティビティ。 | シンクライアントデバイス | AWS::ThinClient::Device |
Amazon WorkSpaces Thin Client | 環境上の WorkSpaces シンクライアント API アクティビティ。 | シンクライアント環境 | AWS::ThinClient::Environment |
AWS X-Ray | [X-Ray トレース] | AWS::XRay::Trace |
証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。CloudTrail データイベントを記録するには、アクティビティを収集する各リソースタイプを明示的に追加する必要があります。データイベントのログ記録の詳細については、「データイベントをログ記録する」を参照してください。
データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金
ネットワークアクティビティイベント
注記
ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。
CloudTrail ネットワークアクティビティイベントを使用すると、VPC エンドポイントの所有者は、プライベート VPC から への VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。ネットワークアクティビティイベントでは、VPC 内で実行されたリソースオペレーションについて知ることができます。
次のサービスのネットワークアクティビティイベントを記録できます。
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金
Insights イベント
CloudTrail Insights イベントは、CloudTrail の管理アクティビティを分析し、 AWS アカウントの異常な API コール率やエラー率のアクティビティをキャプチャします。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。CloudTrail の証跡あるいはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、CloudTrail がアカウントの API 使用量またはエラー率のログ記録において通常の使用パターンとは大きく異なる変更を検出した場合にのみログ記録されます。詳細については、「CloudTrail Insights の使用」を参照してください。
Insights イベントを生成する可能性のあるアクティビティの例を次に示します。
-
通常、アカウントは Amazon S3
deleteBucket
API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個のdeleteBucket
API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常、アカウントは Amazon EC2
AuthorizeSecurityGroupIngress
API のコールを 1 分あたり 20 個を記録しますが、アカウントはAuthorizeSecurityGroupIngress
へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常は、アカウントで AWS Identity and Access Management API
DeleteInstanceProfile
に関するAccessDeniedException
エラーのログ記録が 7 日間に 1 つもありません。アカウントがDeleteInstanceProfile
API コールで 1 分あたり平均 12AccessDeniedException
エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。
これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。
CloudTrail Insights イベントをログ記録するには、新規または既存の証跡もしくはイベントデータストアにおいて、Insights イベントを明示的に有効化する必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金
イベント履歴
CloudTrail イベント履歴は、 AWS リージョンにおける過去 90 日間の CloudTrail 管理 イベントの表示、検索、ダウンロード可能、および不変な記録を提供します。この履歴を使用して、 AWS 、 AWS SDKs AWS Management Console、コマンドラインツール、およびその他の AWS サービスでアカウントで実行されたアクションを可視化できます。CloudTrail コンソールでイベント履歴の表示をカスタマイズするには、表示する列を選択します。詳細については、「CloudTrail イベント履歴の操作」を参照してください。
追跡
証跡とは、Amazon S3 バケット、およびオプションで CloudWatch Logs および Amazon EventBridge に CloudTrail イベントを配信できるようにするための設定です。証跡を使用して、配信する CloudTrail イベントを選択し、CloudTrail イベントログファイルを AWS KMS キーで暗号化し、ログファイル配信用の Amazon SNS 通知を設定できます。証跡の作成と管理の詳細については、「の証跡の作成 AWS アカウント」を参照してください。
マルチリージョン証拠と単一リージョン証跡
AWS アカウントのマルチリージョンとシングルリージョンの両方の証跡を作成できます。
- マルチリージョン証跡
-
マルチリージョン証跡を作成すると、CloudTrail は作業しているAWS パーティション内のすべての AWS リージョン にイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョンの証跡を作成した後に AWS リージョン が追加された場合、その新しいリージョンは自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンになります。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、コンソールを使用した証跡の作成および1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用を参照してください。
- 単一リージョンの証跡
-
単一リージョンの証跡を作成すると、CloudTrail はそのリージョンにのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが渡されます。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加で単一の証跡を作成した場合、同じ S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、 AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI 」を参照してください。
注記
どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。
マルチリージョン証跡には以下の利点があります。
-
証跡の設定が、すべての AWS リージョンに一貫性を持って適用されます。
-
すべての から CloudTrail イベントを 1 つの Amazon S3 バケット AWS リージョン で受信し、オプションで CloudWatch Logs ロググループで受信します。
-
すべての の証跡設定を 1 つの場所 AWS リージョン から管理します。
証跡をすべての AWS リージョンに適用すると、CloudTrail は特定のリージョンで作成した証跡を使用して、作業しているAWS パーティション内の他のすべてのリージョンで同じ設定の証跡を作成します。
その結果、次のことが起こります。
-
CloudTrail は、アカウントアクティビティのログファイルをすべての AWS リージョンから、指定した単一の Amazon S3 バケットに配信し、オプションで CloudWatch Logs ロググループに配信します。
-
証跡に Amazon SNS トピックを設定した場合、すべての AWS リージョンでのログファイル配信に関する SNS 通知がその 1 つの SNS トピックに送信されます。
証跡がマルチリージョンかシングルリージョンかにかかわらず、Amazon EventBridge に送信されたイベントは、単一のイベントバスではなく、各リージョンのイベントバスで受信されます。
1 リージョンに対する複数の証跡
デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。
CloudTrail では、リージョンごとに 5 つの証跡がサポートされます。マルチリージョン証跡は、リージョンごとに 1 つの証跡としてカウントされます。
次に示すのは、1 つのリージョンに 5 つの証跡を使用する場合の例です。
-
米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。
-
米国西部 (北カリフォルニア) リージョンに適用される証跡をさらに 2 つ作成します。
-
アジアパシフィック (シドニー) リージョンに別のマルチリージョン証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。
CloudTrail コンソールの [証拠] ページに、 AWS リージョン の証跡リストを表示できます。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。CloudTrail の料金については、「AWS CloudTrail
料金
組織の証跡
組織の証跡は、管理アカウントと AWS Organizations 組織内のすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、CloudWatch Logs、および Amazon EventBridge に配信できるようにする設定です。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。
コンソールを使用して作成されたすべての組織の証跡は、組織内の各メンバーアカウントで有効 AWS リージョン になっている からのイベントをログに記録するマルチリージョンの組織の証跡です。組織内のすべての AWS パーティションのイベントをログに記録するには、各パーティションにマルチリージョン組織の証跡を作成します。 AWS CLIを使用して、単一リージョンまたはマルチリージョンの組織証跡を作成できます。単一リージョンの証跡を作成する場合は、証跡の AWS リージョン (ホームリージョンとも呼ばれる) でのみアクティビティを記録します。
のほとんどの AWS リージョン はデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、「AWS Account Management Reference Guide」の「Considerations before enabling and disabling Regions」を参照してください。CloudTrail がサポートするリージョンのリストについては、「CloudTrail がサポートされているリージョン」を参照してください。
組織の証跡を作成すると、指定した名前の証跡のコピーが組織に属するすべてのアカウントに作成されます。
-
組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトインリージョンでない場合、証跡のコピーは各メンバーアカウントの組織の証跡のホームリージョンに作成されます。
-
組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトインリージョンである場合、そのリージョンを有効にしたメンバーアカウントの組織の証跡のホームリージョンに証跡のコピーが作成されます。
-
組織の証跡がマルチリージョンで、証跡のホームリージョンがオプトインリージョンでない場合、証跡のコピーは各メンバーアカウントで有効になっている各 AWS リージョン に作成されます。メンバーアカウントがオプトインリージョンを有効にすると、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンにマルチリージョン証跡のコピーが作成されます。
-
組織の証跡がマルチリージョンで、ホームリージョンがオプトインリージョンの場合、マルチリージョン証跡が作成された AWS リージョン をオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、アカウントで欧州 (スペイン) リージョンを有効にしているメンバーアカウントのみが、そのアカウントアクティビティを組織の証跡に送信します。
注記
CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織証跡を作成します。検証の失敗例を次に示します。
-
Amazon S3 バケットポリシーに誤りがある
-
Amazon SNS トピックポリシーに誤りがある
-
CloudWatch Logs ロググループに配信できない
-
KMS キーを使用して暗号化するアクセス許可が不十分
CloudTrail アクセス許可を持つメンバーアカウントは、CloudTrail コンソールで証跡の詳細ページを表示するか、 コマンドを実行して AWS CLI get-trail-status、組織の証跡の検証エラーを確認できます。
メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、アカウント AWS から CloudTrail コンソールにログインするとき、または などの AWS CLI コマンドを実行するときに、組織の証跡 (証跡 ARN を含む) を表示できます describe-trails
(ただし、メンバーアカウントは、 を使用するときは名前ではなく、組織の証跡の ARN を使用する必要があります AWS CLI)。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、記録するイベントの種類の変更、または組織の証跡のいずれかの変更を行うアクセス許可は付与されていません。 AWS Organizationsの詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。
CloudTrail Lake とイベントデータストア
CloudTrail Lake を使用すると、イベントに対してきめ細かな SQL ベースのクエリを実行し、独自のアプリケーションや CloudTrail と統合されているパートナー AWSなど、外部のソースからのイベントをログに記録できます。CloudTrail Lake を使用するために、アカウントで証跡を設定しておく必要はありません。
イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリ結果を S3 バケットに保存することもできます。CloudTrail Lake は、 の組織からのイベントをイベントデータストア AWS Organizations に保存したり、複数のリージョンやアカウントからのイベントを保存したりすることもできます。CloudTrail Lake は、セキュリティ関連の調査とトラブルシューティングを実行するために役立つ監査ソリューションの一部です。詳細については、AWS CloudTrail Lake の使用およびCloudTrail Lake の概念と用語を参照してください。
CloudTrail Insights
CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、ユーザーが API コールに記録された異常な量の API コールやエラー AWS を特定して応答するのに役立ちます。Insights イベントは、異常なレベルの write
管理 API アクティビティ、または管理 API アクティビティで返された異常なレベルのエラーの記録です。証跡とイベントデータストアのデフォルトでは、CloudTrail Insights イベントはログ記録されません。コンソールでは、証跡あるいはイベントデータストアを作成または更新する際に Insights イベントがログ記録されるように選択できます。CloudTrail API を使用すると、PutInsightSelectors
API で既存の証跡もしくはイベントデータストアの設定を編集することで、Insights イベントをログ記録できます。CloudTrail Insights イベントの記録には追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「CloudTrail Insights の使用」と「AWS CloudTrail 料金表
[タグ]
タグとは、CloudTrail の証跡、イベントデータストア、チャネル、CloudTrail ログファイルの保存に使用される S3 バケット、 AWS Organizations 組織および組織単位など、 AWS リソースに割り当てることができる、ユーザー定義のキーとオプションの値のことです。証跡と証跡のログファイルを保存するために使用する S3 バケットに同じタグを追加することで、AWS Resource Groups でこれらのリソースを管理、検索、およびフィルタリングするのが簡単になります。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、「 AWS リソースのタグ付けのベストプラクティス」を参照してください。
AWS Security Token Service および CloudTrail
AWS Security Token Service (AWS STS) は、グローバルエンドポイントを持つサービスであり、リージョン固有のエンドポイントもサポートしています。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。例えば、 https://cloudtrail.us-west-2.amazonaws.com
は AWS CloudTrail サービスの米国西部 (オレゴン) リージョンエントリポイントです。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。
AWS STS リージョン固有のエンドポイントを使用する場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com
を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。 AWS STS リージョンエンドポイントの詳細については、IAM ユーザーガイドの「 AWS リージョン AWS STS での のアクティブ化と非アクティブ化」を参照してください。
AWS リージョンエンドポイントの完全なリストについては、AWS 「」の「リージョンとエンドポイント」を参照してくださいAWS 全般のリファレンス。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。
グローバルサービスイベント
重要
2021 年 11 月 22 日に、 は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。これで、Amazon CloudFront によって作成されたイベント AWS Identity and Access Management、および AWS STS が作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、CloudTrail がこれらのサービスをどのように他の AWS グローバルサービスのサービスと整合性を持たせるかが決まります。米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。
対照的に、CloudTrail コンソールのイベント履歴と aws cloudtrail lookup-events コマンドは、これらのイベントが発生した AWS リージョン にイベントを表示します。
ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。 AWS Identity and Access Management (IAM) AWS STSや Amazon CloudFront などのグローバルサービスの場合、イベントはグローバルサービスを含むすべての証跡に配信されます。
ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。
グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。
-
デフォルトでは、グローバルサービスイベントは CloudTrail コンソールを使用して作成された証跡に配信されます。イベントは、その証跡のバケットに配信されます。
-
単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討してください。詳しくは、グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。
-
証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に有効になります。
証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。
例:
-
証跡は CloudTrail コンソールで作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。
-
単一リージョンの証跡を複数作成したとします。
-
単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。
注記
、 AWS SDKs AWS CLI、または CloudTrail API を使用して証跡を作成または更新するときに、証跡のグローバルサービスイベントを含めるか除外するかを指定できます。CloudTrail コンソールからグローバルサービスイベントのログ記録を設定することはできません。