CloudTrail の概念 - AWS CloudTrail
CloudTrail イベントイベント履歴追跡組織の証跡CloudTrail Lake およびイベントデータストアCloudTrail インサイトタグAWS Security Token Service および CloudTrailグローバルサービスイベント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail の概念

このセクションでは、 に関連する基本的な概念をまとめます CloudTrail。

CloudTrail イベント

のイベント CloudTrail は、 AWS アカウントのアクティビティの記録です。このアクティビティは、 によってモニタリング可能な IAM ID またはサービスによって実行されるアクションです CloudTrail。 CloudTrail イベントは AWS Management Console、、コマンドラインツール、およびその他の AWS サービスを通じて行われたアカウント以外のAPIアクティビティAPIと AWS SDKsの両方の履歴を提供します。

CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。

CloudTrail は 4 種類のイベントを記録します。

すべてのイベントタイプは CloudTrail JSONログ形式を使用します。

デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。

と AWS のサービス の統合方法の詳細については CloudTrail、「」を参照してくださいAWS のサービストピック CloudTrail

管理イベント

管理イベントは、 AWS アカウントのリソースに対して実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。

管理イベントには、次のようなものがあります。

  • セキュリティの設定 (APIオペレーションなど AWS Identity and Access Management AttachRolePolicy)。

  • デバイスの登録 (Amazon EC2CreateDefaultVpcAPIオペレーションなど)。

  • データルーティングのルールの設定 (Amazon EC2CreateSubnetAPIオペレーションなど)。

  • ログ記録の設定 (APIオペレーションなど AWS CloudTrail CreateTrail)。

管理イベントには、アカウントで発生する非APIイベントを含めることもできます。例えば、ユーザーがアカウントにサインインすると、 はConsoleLoginイベントを CloudTrail ログに記録します。詳細については、「によってキャプチャされた 以外のAPIイベント CloudTrail」を参照してください。

デフォルトでは、 CloudTrail 証跡と CloudTrail Lake イベントデータはログ管理イベントを保存します。管理イベントのログ記録の詳細については、「」を参照してください管理イベントのログ記録

データイベント

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。

データイベントには、次のようなものがあります。

証跡およびイベントデータストアで使用できるデータイベントタイプは、以下の表のとおりです。[データイベントタイプ (コンソール)] 列には、コンソールで有効な選択項目が表示されます。resources.type 値列には、 AWS CLI または を使用して証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type値が表示されます CloudTrail APIs。

証跡では、基本イベントセレクタまたはアドバンストイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (テーブルの最初の 3 行に表示) 内の Amazon S3 オブジェクトのデータイベントをログ記録できます。残りの行に表示されるデータイベントタイプをログに記録するには、高度イベントセレクタのみを使用できます。

イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。

AWS のサービス 説明 データイベントタイプ (コンソール) resources.type 値
Amazon DynamoDB

テーブルに対する Amazon DynamoDB 項目レベルのAPIアクティビティ (、DeleteItemUpdateItemAPIオペレーションなど)。 PutItem

注記

ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するには、 eventNameフィールドにフィルターを追加します。

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda 関数実行アクティビティ (InvokeAPI)。

 Lambda AWS::Lambda::Function
Amazon S3

汎用バケットのオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、GetObjectDeleteObjectPutObjectAPIオペレーションなど)。

 S3 AWS::S3::Object
AWS AppConfig

StartConfigurationSession および への呼び出しなどの設定オペレーションのAWS AppConfig APIアクティビティGetLatestConfiguration

 AWS AppConfig AWS::AppConfig::Configuration
AWS B2B データ交換

GetTransformerJob や への呼び出しなど、トランスフォーマーオペレーションの B2B データ交換APIアクティビティStartTransformerJob

 B2B データ交換 AWS::B2BI::Transformer
Amazon Bedrock エージェントエイリアスの Amazon Bedrock APIアクティビティ Bedrock エージェントエイリアス AWS::Bedrock::AgentAlias
Amazon Bedrock フローエイリアスの Amazon Bedrock APIアクティビティ。 Bedrock フローエイリアス AWS::Bedrock::FlowAlias
Amazon Bedrock ガードレールでの Amazon Bedrock APIアクティビティ。 Bedrock ガードレール AWS::Bedrock::Guardrail
Amazon Bedrock ナレッジベースの Amazon Bedrock APIアクティビティ Bedrock ナレッジベース AWS::Bedrock::KnowledgeBase
Amazon Bedrock モデルでの Amazon Bedrock APIアクティビティ。 Bedrock モデル AWS::Bedrock::Model
Amazon CloudFront

CloudFront API でのアクティビティ KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map 名前空間 でのAWS Cloud Map APIアクティビティ AWS Cloud Map 名前空間 AWS::ServiceDiscovery::Namespace
AWS Cloud Map サービス でのAWS Cloud Map APIアクティビティ AWS Cloud Map service AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEvents 外部からイベントをログに記録するために使用される CloudTrail Lake チャネルでのアクティビティ AWS。

 CloudTrail チャンネル AWS::CloudTrail::Channel
Amazon CloudWatch

メトリクスに対する Amazon CloudWatch API アクティビティ

 CloudWatch メトリクス AWS::CloudWatch::Metric
Amazon CloudWatch RUM

アプリモニターでの Amazon CloudWatch RUM APIアクティビティ。

 RUM アプリモニター AWS::RUM::AppMonitor
Amazon CodeWhisperer カスタマイズに対する Amazon CodeWhisperer API アクティビティ。 CodeWhisperer カスタマイズ AWS::CodeWhisperer::Customization
Amazon CodeWhisperer プロファイル上の Amazon CodeWhisperer API アクティビティ。 CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Amazon Cognito ID プールでの Amazon Cognito APIアクティビティ 。 https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-info-in-cloudtrail.html#identity-pools-cloudtrail-events

 Cognito アイデンティティプール AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange API アセットに対するアクティビティ。

Data Exchange アセット

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline Cloud API フリートでのアクティビティ。

Deadline Cloud フリート

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline Cloud API ジョブでのアクティビティ。

Deadline Cloud ジョブ

AWS::Deadline::Job
AWS Deadline Cloud

Deadline Cloud API キューでのアクティビティ。

Deadline Cloud キュー

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline Cloud API ワーカーに対するアクティビティ。

Deadline Cloud ワーカー

AWS::Deadline::Worker
Amazon DynamoDB

ストリームでの Amazon DynamoDB APIアクティビティ。

 DynamoDB Streams AWS::DynamoDB::Stream
AWS エンドユーザーメッセージングソーシャル 電話番号 でのAWS エンドユーザーメッセージングソーシャルAPIアクティビティIDs。 ソーシャルメッセージ電話番号 ID AWS::SocialMessaging::PhoneNumberId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) はAPIs、、PutSnapshotBlockGetSnapshotBlockなどの を Amazon EBSスナップショットListChangedBlocksに直接送信します。

 Amazon EBS Direct APIs AWS::EC2::Snapshot
Amazon EMR 先書きログワークスペースでの Amazon EMRAPIアクティビティ EMR 先書きログワークスペース AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpace API 環境でのアクティビティ。

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue API Lake Formation によって作成されたテーブルに対するアクティビティ。

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

ディテクター の Amazon GuardDuty API アクティビティ。 https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail

 GuardDuty ディテクター AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging API データストアでのアクティビティ。

 MedicalImaging データストア AWS::MedicalImaging::Datastore
AWS IoT

証明書 AWS IoT APIアクティビティ

 IoT 証明書 AWS::IoT::Certificate
AWS IoT

モノに対するAWS IoT APIアクティビティ

 IoT モノ AWS::IoT::Thing
AWS IoT Greengrass Version 2

Greengrass コアデバイスからのコンポーネントバージョンの Greengrass APIアクティビティ

注記

Greengrass はアクセス拒否イベントを記録しません。

 IoT Greengrass コンポーネントバージョン AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

デプロイ上の Greengrass コアデバイスからの Greengrass APIアクティビティ

注記

Greengrass はアクセス拒否イベントを記録しません。

 IoT Greengrass デプロイ AWS::GreengrassV2::Deployment
AWS IoT SiteWise

アセット での IoT SiteWise API アクティビティhttps://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html

 IoT SiteWise アセット AWS::IoTSiteWise::Asset
AWS IoT SiteWise

時系列 での IoT SiteWise API アクティビティhttps://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html

 IoT SiteWise 時系列 AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

エンティティ での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateEntity.html

 IoT TwinMaker エンティティ AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

ワークスペース での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateWorkspace.html

 IoT TwinMaker ワークスペース AWS::IoTTwinMaker::Workspace
Amazon Kendra インテリジェントランキング

リスコア実行プランの Amazon Kendra Intelligent Ranking APIアクティビティ。

 Kendra ランキング AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (Apache Cassandra 向け) テーブル上の Amazon Keyspaces APIアクティビティ Cassandra テーブル AWS::Cassandra::Table
Amazon Kinesis Data Streams ストリーム での Kinesis Data Streams APIアクティビティ。 Kinesis ストリーム AWS::Kinesis::Stream
Amazon Kinesis Data Streams ストリーミングコンシューマー での Kinesis Data Streams APIアクティビティ。 https://docs.aws.amazon.com/streams/latest/dev/building-consumers.html Kinesis ストリームコンシューマー AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams GetMedia や への呼び出しなど、ビデオストリームでの Kinesis Video Streams APIアクティビティPutMedia Kinesis ビデオストリーム AWS::KinesisVideo::Stream
Amazon Machine Learning ML モデルでのMachine LearningAPIアクティビティ。 マッハ学習 MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

ネットワーク上の Amazon Managed Blockchain APIアクティビティ。

 Managed Blockchain ネットワーク AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Amazon Managed Blockchain JSON-RPC eth_getBalanceや などの Ethereum ノードを呼び出しますeth_getBlockByNumber

 Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Neptune Graph

Neptune グラフ上のクエリ、アルゴリズム、ベクトル検索などのデータAPIアクティビティ。

 Neptune Graph AWS::NeptuneGraph::Graph
Amazon One Enterprise

での Amazon One Enterprise APIアクティビティUKey。

 Amazon One UKey AWS::One::UKey
Amazon One Enterprise

ユーザーに対する Amazon One Enterprise APIアクティビティ。

 Amazon One ユーザー AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography API エイリアスでのアクティビティ。 Payment Cryptography エイリアス AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography API キーに対するアクティビティ。 Payment Cryptography キー AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Active Directory APIアクティビティのコネクタ。

 AWS Private CA Active Directory 用コネクタ AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA SCEPAPIアクティビティ用のコネクタ。

 AWS Private CA のコネクタ SCEP AWS::PCAConnectorSCEP::Connector
Amazon Q アプリ

Amazon Q Apps のデータAPIアクティビティ。

 Amazon Q アプリ AWS::QApps:QApp
Amazon Q Business

アプリケーションでの Amazon Q Business APIアクティビティ

 Amazon Q Business アプリケーション AWS::QBusiness::Application
Amazon Q Business

データソースでの Amazon Q Business APIアクティビティ

 Amazon Q Business データソース AWS::QBusiness::DataSource
Amazon Q Business

インデックスでの Amazon Q Business APIアクティビティ

 Amazon Q Business インデックス AWS::QBusiness::Index
Amazon Q Business

ウェブエクスペリエンスでの Amazon Q Business APIアクティビティ

 Amazon Q Business ウェブエクスペリエンス AWS::QBusiness::WebExperience
Amazon RDS

DB クラスターでの Amazon RDSAPIアクティビティ

 RDS データ API - DB クラスター AWS::RDS::DBCluster
Amazon S3

アクセスポイントでの Amazon S3 APIアクティビティ

 S3 アクセスポイント AWS::S3::AccessPoint
Amazon S3

ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、GetObjectDeleteObjectPutObjectAPIオペレーションなど)。

 S3 Express AWS::S3Express::Object
Amazon S3

Amazon S3 Object Lambda アクセスポイントのAPIアクティビティ 、例えば CompleteMultipartUploadや への呼び出しGetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 on Outposts

Amazon S3 on Outposts オブジェクトレベルのAPIアクティビティ

S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker エンドポイントでの Amazon SageMaker InvokeEndpointWithResponseStream アクティビティ。 SageMaker エンドポイント AWS::SageMaker::Endpoint
Amazon SageMaker

機能ストアでの Amazon SageMaker API アクティビティ。

 SageMaker 特徴量ストア AWS::SageMaker::FeatureGroup
Amazon SageMaker

実験トライアルコンポーネント での Amazon SageMaker API アクティビティ。 https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html

 SageMaker メトリクス実験トライアルコンポーネント AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

プラットフォームエンドポイントでの Amazon SNSPublishAPIオペレーション。

 SNS プラットフォームエンドポイント AWS::SNS::PlatformEndpoint
Amazon SNS

トピックに関する Amazon SNSPublishPublishBatchAPIオペレーション。

 SNS トピック AWS::SNS::Topic
Amazon SQS

メッセージに対する Amazon SQSAPIアクティビティ

 SQS AWS::SQS::Queue
AWS Step Functions

ステートマシンでの Step Functions APIアクティビティ

 Step Functions ステートマシン AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain API インスタンスでのアクティビティ。

 サプライチェーン AWS::SCN::Instance
Amazon SWF

ドメイン での Amazon SWFAPIアクティビティ

 SWF ドメイン AWS::SWF::Domain
AWS Systems Manager コントロールチャネルでの Systems Manager APIアクティビティ Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager マネージドノードでの Systems Manager APIアクティビティ Systems Manager マネージドノード AWS::SSM::ManagedNode
Amazon Timestream データベースでの Amazon Timestream QueryAPIアクティビティ。 Timestream データベース AWS::Timestream::Database
Amazon Timestream テーブルでの Amazon Timestream QueryAPIアクティビティ。 Timestream テーブル AWS::Timestream::Table
Amazon Verified Permissions

ポリシーストアでの Amazon Verified Permissions APIアクティビティ。

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces シンクライアント WorkSpaces デバイス上のシンクライアントAPIアクティビティ。 シンクライアントデバイス AWS::ThinClient::Device
Amazon WorkSpaces シンクライアント WorkSpaces 環境でのシンクライアントAPIアクティビティ。 シンクライアント環境 AWS::ThinClient::Environment
AWS X-Ray

トレース での X-Ray APIアクティビティ

 X-Ray トレース AWS::XRay::Trace

証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集する各リソースタイプを明示的に追加する必要があります。データイベントのログ記録の詳細については、「データイベントをログ記録する」を参照してください。

データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「料金」を参照してください。

ネットワークアクティビティイベント

注記

ネットワークアクティビティイベントは のプレビューリリース中 CloudTrail であり、変更される可能性があります。

CloudTrail ネットワークアクティビティイベントを使用すると、VPCエンドポイント所有者は、プライベートから VPCへのVPCエンドポイントを使用して行われた呼び出しを記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントは、 内で実行されるリソースオペレーションを可視化しますVPC。

次のサービスのネットワークアクティビティイベントを記録できます。

  • AWS CloudTrail

  • Amazon EC2

  • AWS KMS

  • AWS Secrets Manager

ネットワークアクティビティイベントは、証跡またはイベントデータストアを作成するときにデフォルトではログに記録されません。 CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。

ネットワークアクティビティイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「 の料金」を参照してください。

Insights イベント

CloudTrail Insights イベントは、 CloudTrail 管理アクティビティを分析することで、アカウント内の異常なAPI通話レートまたはエラーレートアクティビティをキャプチャします AWS 。Insights イベントは、関連する API、エラーコード、インシデント時間、統計などの関連情報を提供し、異常なアクティビティを理解して対処するのに役立ちます。 CloudTrail 証跡またはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、アカウントの一般的なAPI使用パターンと大きく異なるアカウントの使用またはエラーレートのログ記録の変更 CloudTrail を検出した場合にのみログに記録されます。

Insights イベントを生成する可能性のあるアクティビティの例を次に示します。

  • 通常、アカウントは 1 分あたり 20 回以下の Amazon S3 deleteBucketAPI呼び出しをログに記録しますが、アカウントは 1 分あたり平均 100 deleteBucketAPI回の呼び出しをログに記録し始めます。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

  • アカウントは通常、Amazon への 1 分あたり 20 EC2 AuthorizeSecurityGroupIngress 回の呼び出しをログに記録しますがAPI、アカウントは へのゼロ呼び出しをログに記録し始めますAuthorizeSecurityGroupIngress。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

  • 通常 AWS Identity and Access Management API、アカウントは 、 で 7 日間に 1 つ未満のAccessDeniedExceptionエラーを記録しますDeleteInstanceProfile。アカウントは、DeleteInstanceProfileAPI通話に対して 1 分あたり平均 12 AccessDeniedException エラーのログ記録を開始します。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

CloudTrail Insights イベントを記録するには、新規または既存の証跡またはイベントデータストアで Insights イベントを明示的に有効にする必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールを使用して Insights イベントのイベントデータストアを作成する」を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金」を参照してください。

イベント履歴

CloudTrail イベント履歴は、 内の過去 90 日間の CloudTrail 管理イベントの表示可能、検索可能、ダウンロード可能、およびイミュータブルなレコードを提供します AWS リージョン。この履歴を使用して、 AWS Management Console、、 AWS SDKsコマンドラインツール、およびその他の AWS サービスの AWS アカウントで実行されたアクションを可視化できます。コンソールでイベント履歴の表示をカスタマイズするには CloudTrail 、表示する列を選択します。詳細については、「 CloudTrail イベント履歴の操作」を参照してください。

追跡

証跡は、イベントを S3 バケット CloudTrail に配信できる設定で、オプションで CloudWatch LogsAmazon EventBridgeに配信できます。証跡を使用して、配信する CloudTrail イベントを選択し、 CloudTrail イベントログファイルを AWS KMS キーで暗号化し、ログファイル配信用の Amazon SNS通知を設定できます。証跡の作成と管理の詳細については、「の証跡の作成 AWS アカウント」を参照してください。

マルチリージョンとシングルリージョンの証跡

のマルチリージョンとシングルリージョンの両方の証跡を作成できます AWS アカウント。

マルチリージョンの証跡

マルチリージョン証跡を作成すると、 は作業中のAWS パーティション AWS リージョン 内のすべてのイベント CloudTrail を記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョン証跡を作成した後に AWS リージョン が追加されると、その新しいリージョンが自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。 CloudTrail コンソールを使用して作成するすべての証跡はマルチリージョンです。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、「コンソールで証跡を作成する」および「1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用」を参照してください。

シングルリージョンの証跡

単一リージョンの証跡を作成すると、 はそのリージョンのイベントのみ CloudTrail を記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルを配信します。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加の単一の証跡を作成する場合は、それらの証跡に CloudTrail イベントログファイルを同じ S3 バケットに配信させるか、バケットを分離させることができます。これは、 または を使用して AWS CLI 証跡を作成する場合のデフォルトのオプションです CloudTrail API。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

マルチリージョン証跡には以下の利点があります。

  • 証跡の設定は、すべての に一貫して適用されます AWS リージョン。

  • 1 つの Amazon S3 バケット AWS リージョン 内のすべての から CloudTrail イベントを受信し、オプションで CloudWatch Logs ロググループでイベントを受信します。

  • すべての の証跡設定を 1 つの場所 AWS リージョン から管理します。

すべての AWS リージョンに証跡を適用すると、 は特定のリージョンで作成した証跡 CloudTrail を使用して、作業しているAWS パーティション内の他のすべてのリージョンで同じ設定の証跡を作成します。

その結果、次のことが起こります。

  • CloudTrail は、アカウントアクティビティのログファイルをすべての AWS リージョンから指定した単一の Amazon S3 バケットに、オプションで CloudWatch Logs ロググループに配信します。

  • 証跡に Amazon SNSトピックを設定した場合、すべての AWS リージョンのログファイル配信に関するSNS通知がその 1 つのSNSトピックに送信されます。

証跡がマルチリージョンかシングルリージョンかにかかわらず、Amazon に送信されるイベント EventBridge は、1 つのイベントバスではなく、各リージョンのイベントバス で受信されます。

1 リージョンに対する複数の証跡

デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。

CloudTrail は、リージョンごとに 5 つの証跡をサポートします。マルチリージョン証跡は、リージョンごとに 1 つの証跡としてカウントされます。

以下は、5 つの証跡があるリージョンの例です。

  • 米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。

  • 米国西部 (北カリフォルニア) リージョンでさらに 2 つのマルチリージョン証跡を作成します。

  • アジアパシフィック (シドニー) リージョンに別のマルチリージョン証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。

証跡のリストは、 CloudTrail コンソールの AWS リージョン 証跡ページで確認できます。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。 CloudTrail 料金については、AWS CloudTrail 「 の料金」を参照してください。

組織の証跡

組織証跡は、管理アカウントと AWS Organizations 組織内のすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、 CloudWatch ログ、および Amazon に配信できるようにする設定です EventBridge。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。

コンソールを使用して作成されたすべての組織証跡は、組織内の各メンバーアカウントで有効 AWS リージョン になっている からのイベントを記録するマルチリージョン組織証跡です。組織内のすべての AWS パーティションのイベントを記録するには、各パーティションにマルチリージョンの組織証跡を作成します。を使用して、単一リージョンまたは複数リージョンの組織証跡を作成できます AWS CLI。単一リージョンの証跡を作成する場合は、証跡 AWS リージョン の (ホームリージョンとも呼ばれる) でのみアクティビティを記録します。

ほとんどの AWS リージョン は でデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、AWS Account Management リファレンスガイド「リージョンを有効または無効にする前に考慮すべき事項」を参照してください。がサポートするリージョンのリストについては、 CloudTrail「」を参照してくださいCloudTrail サポートされているリージョン

組織証跡を作成すると、指定した名前の証跡のコピーが、組織に属するメンバーアカウントで作成されます。

  • 組織証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョン でない場合、証跡のコピーが各メンバーアカウントの組織証跡のホームリージョンに作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョン の場合、証跡のコピーは、そのリージョンを有効にしたメンバーアカウントの組織証跡のホームリージョンに作成されます。

  • 組織の証跡がマルチリージョンで、証跡のホームリージョンオプトインリージョン でない場合、証跡のコピーが各メンバーアカウントで有効になっている各 AWS リージョン に作成されます。メンバーアカウントがオプトインリージョンを有効にすると、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンにマルチリージョン証跡のコピーが作成されます。

  • 組織証跡がマルチリージョンで、ホームリージョンオプトインリージョン の場合、マルチリージョン証跡 AWS リージョン が作成された をオプトインしない限り、メンバーアカウントは組織証跡にアクティビティを送信しません。例えば、複数リージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、アカウントの欧州 (スペイン) リージョンを有効にしたメンバーアカウントのみが、そのアカウントアクティビティを組織証跡に送信します。

注記

CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織証跡を作成します。検証の失敗の例は次のとおりです。

  • Amazon S3 バケットポリシーが正しくない

  • Amazon SNSトピックポリシーが正しくない

  • CloudWatch Logs ロググループに配信できない

  • KMS キーを使用して暗号化するアクセス許可が不十分

アクセス CloudTrail 許可を持つメンバーアカウントは、 CloudTrail コンソールで証跡の詳細ページを表示するか、 を実行して、組織証跡の検証の失敗を確認できます。 AWS CLI get-trail-status コマンド。

メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、アカウントから AWS CloudTrail AWS コンソールにログインするとき、または などの AWS CLI コマンドを実行するときに、組織の証跡 (証跡 を含むARN) を表示できます describe-trails (ただし、メンバーアカウントは を使用する場合、名前ではなく、組織証跡ARNに を使用する必要があります AWS CLI)。ただし、メンバーアカウントのユーザーには、組織証跡の削除、ログのオン/オフの切り替え、ログに記録されるイベントのタイプの変更、または組織証跡の変更を行うのに十分なアクセス許可はありません。 AWS Organizationsの詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。

CloudTrail Lake およびイベントデータストア

CloudTrail Lake では、イベントに対してきめ細かな SQLベースのクエリを実行し、独自のアプリケーションや と統合されたパートナーなど AWS、 外のソースからイベントをログに記録します CloudTrail。 CloudTrail Lake を使用するには、アカウントに証跡を設定する必要はありません。

イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリ結果を S3 バケットに保存することもできます。 CloudTrail Lake は、 の組織からのイベントをイベントデータストア AWS Organizations に保存したり、複数のリージョンやアカウントからのイベントを保存することもできます。 CloudTrail Lake は、セキュリティ調査とトラブルシューティングの実行に役立つ監査ソリューションの一部です。詳細については、「AWS CloudTrail Lake の使用」および「CloudTrail Lake の概念と用語」を参照してください。

CloudTrail インサイト

CloudTrail Insights は、 CloudTrail 管理イベントを継続的に分析することで、 AWS ユーザーが異常なボリュームのAPI呼び出しやAPI呼び出しに記録されたエラーを識別して応答するのに役立ちます。Insights イベントは、異常なレベルのwrite管理APIアクティビティ、または管理APIアクティビティで返される異常なレベルのエラーの記録です。デフォルトでは、証跡とイベントデータストアは CloudTrail Insights イベントを記録しません。コンソールでは、証跡あるいはイベントデータストアを作成または更新する際に Insights イベントがログ記録されるように選択できます。を使用すると CloudTrail API、 を使用して既存の証跡またはイベントデータストアの設定を編集することで、PutInsightSelectorsInsights イベントをログに記録することができますAPI。 CloudTrail Insights イベントのログ記録には追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「Insights イベントのログ記録」と「AWS CloudTrail 料金表」を参照してください。

タグ

タグは、証 CloudTrail 跡、イベントデータストア、チャネル、 CloudTrail ログファイルの保存に使用される S3 バケット、 AWS Organizations 組織、組織単位などのリソースに割り当てる AWS ことができる、ユーザー定義のキーとオプションの値です。証跡と証跡のログファイルの保存に使用する S3 バケットに同じタグを追加することで、これらのリソースの管理、検索、フィルタリングを で簡単に行うことができますAWS Resource Groups。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、「 AWS リソースのタグ付けのベストプラクティス」を参照してください。

AWS Security Token Service および CloudTrail

AWS Security Token Service (AWS STS) は、グローバルエンドポイントがあり、リージョン固有のエンドポイントもサポートするサービスです。エンドポイントは、ウェブサービスリクエストのエントリポイントURLである です。例えば、 https://cloudtrail.us-west-2.amazonaws.comは AWS CloudTrail サービスの米国西部 (オレゴン) リージョンエントリポイントです。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。

AWS STS リージョン固有のエンドポイントを使用する場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。 AWS STS リージョンエンドポイントの詳細については、 IAM ユーザーガイドAWS 「リージョン AWS STS でのアクティブ化と非アクティブ化」を参照してください。

AWS リージョンエンドポイントの完全なリストについては、AWS 「」の「リージョンとエンドポイント」を参照してくださいAWS 全般のリファレンス。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。

グローバルサービスイベント

重要

2021 年 11 月 22 日をもって、 は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。現在、Amazon によって作成されたイベント CloudFront、および AWS STS は AWS Identity and Access Management、作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、 はこれらのサービスを他の AWS グローバルサービスのサービスと一貫して CloudTrail 処理します。米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

対照的に、 CloudTrail コンソールのイベント履歴aws cloudtrail lookup-events コマンドは、これらのイベントが発生した AWS リージョン のイベントを表示します。

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。 AWS Identity and Access Management (IAM) AWS STS、、Amazon などのグローバルサービスの場合 CloudFront、イベントはグローバルサービスを含むすべての証跡に配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。

グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。

  • グローバルサービスイベントは、 CloudTrail コンソールを使用して作成された証跡にデフォルトで配信されます。イベントは、その証跡のバケットに配信されます。

  • 単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討してください。詳しくは、グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

  • 証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に有効になります。

    証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

例:

  1. CloudTrail コンソールで証跡を作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。

  2. 単一リージョンの証跡を複数作成したとします。

  3. 単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。

注記

AWS CLI AWS SDKs、、または を使用して証跡を作成または更新する場合 CloudTrail API、証跡のグローバルサービスイベントを含めるか除外するかを指定できます。 CloudTrail コンソールからグローバルサービスイベントログ記録を設定することはできません。