CloudTrail のイベントイベント履歴追跡組織の証跡 CloudTrail Lake とイベントデータストア CloudTrail Insights [タグ]AWS Security Token Service および CloudTrail グローバルサービスイベント

CloudTrail のコンセプト

このセクションでは、CloudTrail に関連する概念について簡単に説明します。

概念:

CloudTrail のイベント
イベント履歴
追跡
組織の証跡
CloudTrail Lake とイベントデータストア
CloudTrail Insights
[タグ]
AWS Security Token Service および CloudTrail
グローバルサービスイベント

CloudTrail のイベント

CloudTrail のイベントは、 AWS アカウントのアクティビティの記録です。このアクティビティは、IAM アイデンティティによるアクション、または CloudTrail が監視するサービスです。CloudTrail イベントは、、 AWS SDKs AWS Management Console、コマンドラインツール、およびその他の AWS サービスを通じて行われた API アカウントアクティビティと非 API アカウントアクティビティの両方の履歴を提供します。

CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。

CloudTrail は 4 種類のイベントをログに記録します。

管理イベント
データイベント
ネットワークアクティビティイベント

注記
ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。
Insights イベント

すべてのイベントタイプで、CloudTrail JSON ログ形式が使用されます。

デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。

CloudTrail と AWS のサービスの統合方法については、「」を参照してくださいAWS のサービストピック CloudTrail。

管理イベント

管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。

管理イベントには、次のようなものがあります。

セキュリティの設定 (API AWS Identity and Access Management AttachRolePolicyオペレーションなど）。
デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション)。
データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション)。
ログ記録の設定 (API AWS CloudTrail CreateTrailオペレーションなど）。

管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。

デフォルトでは、CloudTrail 証跡と CloudTrail Lake イベントデータはログ管理イベントを保存します。管理イベントのログ記録に関する詳細については、「管理イベントのログ記録」を参照してください。

データイベント

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。

データイベントには、次のようなものがあります。

S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObject、DeleteObject、PutObject API オペレーション)。
AWS Lambda 関数実行アクティビティ ( Invoke API)。
外部からの AWSイベントをログに記録するために使用される CloudTrail Lake チャネルでの CloudTrail PutAuditEvents アクティビティ。
トピックに関する Amazon SNS Publish および PublishBatch API オペレーション。

次の表は、証跡とイベントデータストアで使用できるリソースタイプを示しています。リソースタイプ (コンソール） 列には、コンソールで適切な選択が表示されます。resources.type 値列には、 AWS CLI または CloudTrail APIs を使用して証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type値が表示されます。

証跡の場合、ベーシックまたは高度なイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) の Amazon S3 オブジェクトのデータイベントのログを記録することができます。残りの行に表示されるリソースタイプをログに記録するには、高度なイベントセレクタのみを使用できます。

イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。

AWS のサービス	説明	リソースタイプ (コンソール）	resources.type 値
Amazon DynamoDB	テーブルでの Amazon DynamoDB アイテムレベルの API アクティビティ (例: `PutItem`、`DeleteItem`、および `UpdateItem` API オペレーション)。注記ストリームが有効になっているテーブルの場合、データイベントの `resources` フィールドには `AWS::DynamoDB::Stream` と `AWS::DynamoDB::Table` の両方が含まれます。`resources.type` に `AWS::DynamoDB::Table` を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するには、`eventName` フィールドにフィルタを追加します。	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda 関数実行アクティビティ ( `Invoke` API)。	Lambda	`AWS::Lambda::Function`
Amazon S3	汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: `GetObject`、`DeleteObject`、`PutObject` API オペレーション)。	S3	`AWS::S3::Object`
AWS AppConfig	`StartConfigurationSession` やへの呼び出しなどの設定オペレーションの AWS AppConfig API アクティビティ`GetLatestConfiguration`。	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS AppSync	AppSync GraphQL API での APIs AWS AppSync アクティビティ。	AppSync GraphQL	`AWS::AppSync::GraphQL`
AWS B2B データ交換	`GetTransformerJob` および `StartTransformerJob` の呼び出しなど、Transformer 操作用の B2B データ交換 API アクティビティ。	B2B データ交換	`AWS::B2BI::Transformer`
AWS Backup	AWS Backup 検索ジョブでの検索データ API アクティビティ。	AWS Backup データ APIsの検索	`AWS::Backup::SearchJob`
Amazon Bedrock	エージェントエイリアスでの Amazon Bedrock API アクティビティ。	Bedrock エージェントエイリアス	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	非同期呼び出しに対する Amazon Bedrock API アクティビティ。	Bedrock 非同期呼び出し	`AWS::Bedrock::AsyncInvoke`
Amazon Bedrock	フローエイリアスでの Amazon Bedrock API アクティビティ。	[Bedrock フローエイリアス]	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	ガードレールでの Amazon Bedrock API アクティビティ。	[Bedrock ガードレール]	`AWS::Bedrock::Guardrail`
Amazon Bedrock	インラインエージェントの Amazon Bedrock API アクティビティ。	Bedrock Invoke Inline-Agent	`AWS::Bedrock::InlineAgent`
Amazon Bedrock	ナレッジベースでの Amazon Bedrock API アクティビティ。	Bedrock ナレッジベース	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	モデルでの Amazon Bedrock API アクティビティ。	[Bedrock モデル]	`AWS::Bedrock::Model`
Amazon Bedrock	プロンプトに対する Amazon Bedrock API アクティビティ。	Bedrock プロンプト	`AWS::Bedrock::PromptVersion`
Amazon CloudFront	KeyValueStore での CloudFront API アクティビティ。	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	名前空間での AWS Cloud Map API アクティビティ。	AWS Cloud Map 名前空間	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	サービスでの AWS Cloud Map API アクティビティ。	AWS Cloud Map service	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	外部からの AWSイベントをログに記録するために使用される CloudTrail Lake チャネルでの CloudTrail `PutAuditEvents` アクティビティ。	[CloudTrail チャネル]	`AWS::CloudTrail::Channel`
アマゾンクラウドWatch	メトリクスに対する Amazon CloudWatch API アクティビティ。	[CloudWatch メトリクス]	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	アプリモニターでの Amazon CloudWatch RUM API アクティビティ。	[RUM アプリモニター]	`AWS::RUM::AppMonitor`
Amazon CodeGuru Profiler	プロファイリンググループでの CodeGuru Profiler API アクティビティ。	CodeGuru Profiler プロファイリンググループ	`AWS::CodeGuruProfiler::ProfilingGroup`
Amazon CodeWhisperer	カスタマイズでの Amazon CodeWhisperer API アクティビティ。	CodeWhisperer のカスタマイズ	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	プロファイル上の Amazon CodeWhisperer API アクティビティ。	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Amazon Cognito アイデンティティプールに対する Amazon Cognito API アクティビティ。	Cognito アイデンティティプール	`AWS::Cognito::IdentityPool`
AWS Data Exchange	AWS Data Exchange アセットに対する API アクティビティ。	[Data Exchange アセット]	`AWS::DataExchange::Asset`
AWS Deadline Cloud	フリートでの Deadline Cloud API アクティビティ。	Deadline Cloud フリート	`AWS::Deadline::Fleet`
AWS Deadline Cloud	ジョブでの Deadline Cloud API アクティビティ。	Deadline Cloud ジョブ	`AWS::Deadline::Job`
AWS Deadline Cloud	キューでの Deadline Cloud API アクティビティ。	Deadline Cloud キュー	`AWS::Deadline::Queue`
AWS Deadline Cloud	ワーカーに対する Deadline Cloud API アクティビティ。	Deadline Cloud ワーカー	`AWS::Deadline::Worker`
Amazon DynamoDB	ストリームに対する Amazon DynamoDB API アクティビティ	DynamoDB Streams	`AWS::DynamoDB::Stream`
AWS エンドユーザーメッセージング SMS	発信元 ID AWS に対する End User Messaging SMS API アクティビティ。	[SMS Voice 発信元 ID]	`AWS::SMSVoice::OriginationIdentity`
AWS エンドユーザーメッセージング SMS	メッセージに対するAWS エンドユーザーメッセージング SMS API アクティビティ。	SMS Voice メッセージ	`AWS::SMSVoice::Message`
AWS エンドユーザーメッセージングソーシャル	電話番号 IDs に対する AWS End User Messaging Social API アクティビティ。	[ソーシャルメッセージ電話番号 ID]	`AWS::SocialMessaging::PhoneNumberId`
AWS エンドユーザーメッセージングソーシャル	AWS Waba IDs でのエンドユーザーメッセージングソーシャル API アクティビティ。	ソーシャルメッセージング Waba ID	`AWS::SocialMessaging::WabaId`
Amazon Elastic Block Store	Amazon EBS スナップショットの `PutSnapshotBlock`、`GetSnapshotBlock`、および `ListChangedBlocks` などの Amazon Elastic Block Store (EBS) ダイレクト API。	Amazon EBS ダイレクト API	`AWS::EC2::Snapshot`
Amazon EMR	ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。	EMR ログ先行書き込みワークスペース	`AWS::EMRWAL::Workspace`
Amazon FinSpace	環境に対する Amazon FinSpace API アクティビティ。	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。	Lake Formation	`AWS::Glue::Table`
アマゾン GuardDuty	検出器に対する Amazon GuardDuty API アクティビティ。	GuardDuty ディテクター	`AWS::GuardDuty::Detector`
AWS HealthImaging	データストアでのAWS HealthImaging API アクティビティ。	[医療用画像データストア]	`AWS::MedicalImaging::Datastore`
AWS IoT	証明書の AWS IoT API アクティビティ。	IoT 証明書	`AWS::IoT::Certificate`
AWS IoT	モノに対する AWS IoT API アクティビティ。	[IoT モノ]	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ。注記 Greengrass はアクセス拒否イベントのログを記録しません。	[IoT Greengrass コンポーネントバージョン]	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ。注記 Greengrass はアクセス拒否イベントのログを記録しません。	[IoT Greengrass デプロイ]	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	アセット上の IoT SiteWise API アクティビティ。	[IoT SiteWise アセット]	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	時系列上の IoT SiteWise API アクティビティ。	[IoT SiteWise 時系列]	`AWS::IoTSiteWise::TimeSeries`
AWS IoT SiteWise アシスタント	会話での Sitewise Assistant API アクティビティ。	Sitewise Assistant の会話	`AWS::SitewiseAssistant::Conversation`
AWS IoT TwinMaker	エンティティ上の IoT TwinMaker API アクティビティ。	[IoT TwinMaker エンティティ]	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	ワークスペース上の IoT TwinMaker API アクティビティ。	[IoT TwinMaker ワークスペース]	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra インテリジェントランキング	リスコア実行プランに対する Amazon Kendra Intelligent Ranking API アクティビティ。	Kendra ランキング	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (Apache Cassandra 向け)	テーブル上の Amazon Keyspaces API アクティビティ。	[Cassandra テーブル]	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	ストリーム上の Kinesis Data Streams API アクティビティ。	[Kinesis ストリーム]	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	ストリームコンシューマー上の Kinesis Data Streams API アクティビティ。	[Kinesis ストリームコンシューマー]	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	`GetMedia` や `PutMedia` への呼び出しなど、ビデオストリーム上の Amazon Kinesis API アクティビティ。	Kinesis ビデオストリーム	`AWS::KinesisVideo::Stream`
Amazon Location Maps	Amazon Location Maps API アクティビティ。	ジオマップ	`AWS::GeoMaps::Provider`
Amazon Location の場所	Amazon Location Places API アクティビティ。	地理的場所	`AWS::GeoPlaces::Provider`
Amazon Location Routes	Amazon Location Routes API アクティビティ。	地域ルート	`AWS::GeoRoutes::Provider`
Amazon Machine Learning	ML モデルの機械学習 API アクティビティ。	[機械学習 MlModel]	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	ネットワーク上の Amazon Managed Blockchain API アクティビティ。	Managed Blockchain ネットワーク	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	`eth_getBalance` や `eth_getBlockByNumber` などの Ethereum ノードに対する Amazon Managed Blockchain JSON-RPC コール。	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Amazon Managed Workflows for Apache Airflow	環境での Amazon MWAA API アクティビティ。	マネージド Apache Airflow	`AWS::MWAA::Environment`
Amazon Neptune Graph	Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。	Neptune Graph	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	UKey の Amazon One Enterprise API アクティビティ。	[Amazon One UKey]	`AWS::One::UKey`
Amazon One Enterprise	ユーザーの Amazon One Enterprise API アクティビティ。	[Amazon One User]	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography エイリアスの API アクティビティ。	[Payment Cryptography Alias]	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography キーに対する API アクティビティ。	[Payment Cryptography Key]	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Connector for Active Directory API アクティビティ。	AWS Private CA Connector for Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA SCEP API アクティビティ用のコネクタ。	AWS Private CA SCEP 用コネクタ	`AWS::PCAConnectorSCEP::Connector`
Amazon Q Apps	Amazon Q Apps の Data API アクティビティ。	[Amazon Q Apps]	`AWS::QApps::QApp`
Amazon Q Apps	Amazon Q App セッションのデータ API アクティビティ。	Amazon Q App セッション	`AWS::QApps::QAppSession`
Amazon Q Business	アプリケーション上の Amazon Q Business API アクティビティ。	Amazon Q Business アプリケーション	`AWS::QBusiness::Application`
Amazon Q Business	データソース上の Amazon Q Business API アクティビティ。	Amazon Q Business データソース	`AWS::QBusiness::DataSource`
Amazon Q Business	インデックスでの Amazon Q Business API アクティビティ。	Amazon Q Business インデックス	`AWS::QBusiness::Index`
Amazon Q Business	ウェブエクスペリエンスでの Amazon Q Business API アクティビティ。	Amazon Q Business ウェブエクスペリエンス	`AWS::QBusiness::WebExperience`
Amazon Q Developer	統合での Amazon Q Developer API アクティビティ。	Q Developer の統合	`AWS::QDeveloper::Integration`
Amazon Q Developer	運用調査に関する Amazon Q Developer API アクティビティ。	AIOps 調査グループ	`AWS::AIOps::InvestigationGroup`
Amazon RDS	DB クラスターでの Amazon RDS API アクティビティ。	[RDS Data API – DB クラスター]	`AWS::RDS::DBCluster`
AWS Resource Explorer	マネージドビューでの Resource Explorer API アクティビティ。	AWS Resource Explorer マネージドビュー	`AWS::ResourceExplorer2::ManagedView`
AWS Resource Explorer	ビューでの Resource Explorer API アクティビティ。	AWS Resource Explorer view (表示)	`AWS::ResourceExplorer2::View`
Amazon S3	アクセスポイントでの Amazon S3 API アクティビティ。	S3 アクセスポイント	`AWS::S3::AccessPoint`
Amazon S3	ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: `GetObject`、`DeleteObject`、`PutObject` API オペレーション)。	[S3 Express]	`AWS::S3Express::Object`
Amazon S3	`CompleteMultipartUpload` および `GetObject` への呼び出しなどの Amazon S3 Object Lambda アクセスポイント API アクティビティ。	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 Tables	テーブルに対する Amazon S3 API アクティビティ。	S3 テーブル	`AWS::S3Tables::Table`
Amazon S3 Tables	テーブルバケットでの Amazon S3 API アクティビティ。	S3 テーブルバケット	`AWS::S3Tables::TableBucket`
Amazon S3 on Outposts	Amazon S3 on Outposts オブジェクトレベル API アクティビティ。	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker AI	エンドポイントでの Amazon SageMaker AI `InvokeEndpointWithResponseStream`アクティビティ。	SageMaker AI エンドポイント	`AWS::SageMaker::Endpoint`
Amazon SageMaker AI	特徴量ストアでの Amazon SageMaker AI API アクティビティ。	SageMaker AI 特徴量ストア	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker AI	実験トライアルコンポーネントに対する Amazon SageMaker AI API アクティビティ。	SageMaker AI メトリクス実験トライアルコンポーネント	`AWS::SageMaker::ExperimentTrialComponent`
AWS Signer	署名ジョブに対する Signer API アクティビティ。	署名者署名ジョブ	`AWS::Signer::SigningJob`
AWS Signer	署名プロファイルに対する Signer API アクティビティ。	署名者署名プロファイル	`AWS::Signer::SigningProfile`
Amazon SimpleDB	ドメインでの Amazon SimpleDB API アクティビティ。	SimpleDB ドメイン	`AWS::SDB::Domain`
Amazon SNS	プラットフォームエンドポイントでの Amazon SNS `Publish` API オペレーション。	SNS プラットフォームエンドポイント	`AWS::SNS::PlatformEndpoint`
Amazon SNS	トピックに関する Amazon SNS `Publish` および `PublishBatch` API オペレーション。	SNS トピック	`AWS::SNS::Topic`
Amazon SQS	メッセージでの Amazon SQS API アクティビティ。	SQS	`AWS::SQS::Queue`
AWS Step Functions	アクティビティに対する Step Functions API アクティビティ。	Step Functions	`AWS::StepFunctions::Activity`
AWS Step Functions	ステートマシンでの Step Functions API アクティビティ。	Step Functions ステートマシン	`AWS::StepFunctions::StateMachine`
AWS Supply Chain	AWS Supply Chain インスタンスでの API アクティビティ。	[Supply Chain]	`AWS::SCN::Instance`
Amazon SWF	ドメインでの Amazon SWF API アクティビティ。	[SWF ドメイン]	`AWS::SWF::Domain`
AWS Systems Manager	コントロールチャネルでの Systems Manager API アクティビティ。	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	マネージドノードでの Systems Manager API アクティビティ。	Systems Manager マネージドノード	`AWS::SSM::ManagedNode`
Amazon Timestream	データベース上の Amazon Timestream `Query` API アクティビティ。	Timestream データベース	`AWS::Timestream::Database`
Amazon Timestream	リージョンエンドポイントでの Amazon Timestream API アクティビティ。	Timestream リージョンエンドポイント	`AWS::Timestream::RegionalEndpoint`
Amazon Timestream	テーブル上の Amazon Timestream `Query` API アクティビティ。	Timestream テーブル	`AWS::Timestream::Table`
Amazon Verified Permissions	ポリシーストア上の Amazon Verified Permissions API アクティビティ。	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	デバイスでの WorkSpaces シンクライアント API アクティビティ。	シンクライアントデバイス	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	環境上の WorkSpaces シンクライアント API アクティビティ。	シンクライアント環境	`AWS::ThinClient::Environment`
AWS X-Ray	トレースでの X-Ray API アクティビティ。	[X-Ray トレース]	`AWS::XRay::Trace`

証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。CloudTrail データイベントを記録するには、アクティビティを収集する各リソースタイプを明示的に追加する必要があります。データイベントのログ記録の詳細については、「データイベントをログ記録する」を参照してください。

データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

ネットワークアクティビティイベント

注記

ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。

CloudTrail ネットワークアクティビティイベントを使用すると、VPC エンドポイントの所有者は、プライベート VPC からへの VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。ネットワークアクティビティイベントでは、VPC 内で実行されたリソースオペレーションについて知ることができます。

次のサービスのネットワークアクティビティイベントを記録できます。

AWS CloudTrail
Amazon EC2
AWS KMS
AWS Secrets Manager

証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。

ネットワークアクティビティイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

Insights イベント

CloudTrail Insights イベントは、CloudTrail の管理アクティビティを分析し、 AWS アカウントの異常な API コール率やエラー率のアクティビティをキャプチャします。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。CloudTrail の証跡あるいはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、CloudTrail がアカウントの API 使用量またはエラー率のログ記録において通常の使用パターンとは大きく異なる変更を検出した場合にのみログ記録されます。詳細については、「CloudTrail Insights の使用」を参照してください。

Insights イベントを生成する可能性のあるアクティビティの例を次に示します。

通常、アカウントは Amazon S3 deleteBucket API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個の deleteBucket API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。
通常、アカウントは Amazon EC2 AuthorizeSecurityGroupIngress API のコールを 1 分あたり 20 個を記録しますが、アカウントは AuthorizeSecurityGroupIngress へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。
通常は、アカウントで AWS Identity and Access Management API DeleteInstanceProfile に関する AccessDeniedException エラーのログ記録が 7 日間に 1 つもありません。アカウントが DeleteInstanceProfile API コールで 1 分あたり平均 12 AccessDeniedException エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

CloudTrail Insights イベントをログ記録するには、新規または既存の証跡もしくはイベントデータストアにおいて、Insights イベントを明示的に有効化する必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金」を参照してください。

イベント履歴

CloudTrail イベント履歴は、 AWS リージョンにおける過去 90 日間の CloudTrail 管理イベントの表示、検索、ダウンロード可能、および不変な記録を提供します。この履歴を使用して、 AWS 、 AWS SDKs AWS Management Console、コマンドラインツール、およびその他の AWS サービスでアカウントで実行されたアクションを可視化できます。CloudTrail コンソールでイベント履歴の表示をカスタマイズするには、表示する列を選択します。詳細については、「CloudTrail イベント履歴の操作」を参照してください。

追跡

証跡とは、Amazon S3 バケット、およびオプションで CloudWatch Logs および Amazon EventBridge に CloudTrail イベントを配信できるようにするための設定です。証跡を使用して、配信する CloudTrail イベントを選択し、CloudTrail イベントログファイルを AWS KMS キーで暗号化し、ログファイル配信用の Amazon SNS 通知を設定できます。証跡の作成と管理の詳細については、「の証跡の作成 AWS アカウント」を参照してください。

マルチリージョン証拠と単一リージョン証跡

AWS アカウントのマルチリージョンとシングルリージョンの両方の証跡を作成できます。

マルチリージョン証跡: マルチリージョン証跡を作成すると、CloudTrail は作業しているAWS パーティション内のすべての AWS リージョンにイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョンの証跡を作成した後に AWS リージョンが追加された場合、その新しいリージョンは自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンになります。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、コンソールを使用した証跡の作成および1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用を参照してください。
単一リージョンの証跡: 単一リージョンの証跡を作成すると、CloudTrail はそのリージョンにのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが渡されます。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加で単一の証跡を作成した場合、同じ S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、 AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI 」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

マルチリージョン証跡には以下の利点があります。

証跡の設定が、すべての AWS リージョンに一貫性を持って適用されます。
すべてのから CloudTrail イベントを 1 つの Amazon S3 バケット AWS リージョンで受信し、オプションで CloudWatch Logs ロググループで受信します。
すべてのの証跡設定を 1 つの場所 AWS リージョンから管理します。

証跡をすべての AWS リージョンに適用すると、CloudTrail は特定のリージョンで作成した証跡を使用して、作業しているAWS パーティション内の他のすべてのリージョンで同じ設定の証跡を作成します。

その結果、次のことが起こります。

CloudTrail は、アカウントアクティビティのログファイルをすべての AWS リージョンから、指定した単一の Amazon S3 バケットに配信し、オプションで CloudWatch Logs ロググループに配信します。
証跡に Amazon SNS トピックを設定した場合、すべての AWS リージョンでのログファイル配信に関する SNS 通知がその 1 つの SNS トピックに送信されます。

証跡がマルチリージョンかシングルリージョンかにかかわらず、Amazon EventBridge に送信されたイベントは、単一のイベントバスではなく、各リージョンのイベントバスで受信されます。

1 リージョンに対する複数の証跡

デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。

CloudTrail では、リージョンごとに 5 つの証跡がサポートされます。マルチリージョン証跡は、リージョンごとに 1 つの証跡としてカウントされます。

次に示すのは、1 つのリージョンに 5 つの証跡を使用する場合の例です。

米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。
米国西部 (北カリフォルニア) リージョンに適用される証跡をさらに 2 つ作成します。
アジアパシフィック (シドニー) リージョンに別のマルチリージョン証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。

CloudTrail コンソールの [証拠] ページに、 AWS リージョンの証跡リストを表示できます。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

組織の証跡

組織の証跡は、管理アカウントと AWS Organizations 組織内のすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、CloudWatch Logs、および Amazon EventBridge に配信できるようにする設定です。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。

コンソールを使用して作成されたすべての組織の証跡は、組織内の各メンバーアカウントで有効 AWS リージョンになっているからのイベントをログに記録するマルチリージョンの組織の証跡です。組織内のすべての AWS パーティションのイベントをログに記録するには、各パーティションにマルチリージョン組織の証跡を作成します。 AWS CLIを使用して、単一リージョンまたはマルチリージョンの組織証跡を作成できます。単一リージョンの証跡を作成する場合は、証跡の AWS リージョン（ホームリージョンとも呼ばれる) でのみアクティビティを記録します。

のほとんどの AWS リージョンはデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、「AWS Account Management Reference Guide」の「Considerations before enabling and disabling Regions」を参照してください。CloudTrail がサポートするリージョンのリストについては、「CloudTrail がサポートされているリージョン」を参照してください。

組織の証跡を作成すると、指定した名前の証跡のコピーが組織に属するすべてのアカウントに作成されます。

組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトインリージョンでない場合、証跡のコピーは各メンバーアカウントの組織の証跡のホームリージョンに作成されます。
組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトインリージョンである場合、そのリージョンを有効にしたメンバーアカウントの組織の証跡のホームリージョンに証跡のコピーが作成されます。
組織の証跡がマルチリージョンで、証跡のホームリージョンがオプトインリージョンでない場合、証跡のコピーは各メンバーアカウントで有効になっている各 AWS リージョンに作成されます。メンバーアカウントがオプトインリージョンを有効にすると、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンにマルチリージョン証跡のコピーが作成されます。
組織の証跡がマルチリージョンで、ホームリージョンがオプトインリージョンの場合、マルチリージョン証跡が作成された AWS リージョンをオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、アカウントで欧州 (スペイン) リージョンを有効にしているメンバーアカウントのみが、そのアカウントアクティビティを組織の証跡に送信します。

注記

CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織証跡を作成します。検証の失敗例を次に示します。

Amazon S3 バケットポリシーに誤りがある
Amazon SNS トピックポリシーに誤りがある
CloudWatch Logs ロググループに配信できない
KMS キーを使用して暗号化するアクセス許可が不十分

CloudTrail アクセス許可を持つメンバーアカウントは、CloudTrail コンソールで証跡の詳細ページを表示するか、コマンドを実行して AWS CLI get-trail-status、組織の証跡の検証エラーを確認できます。

メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、アカウント AWS から CloudTrail コンソールにログインするとき、またはなどの AWS CLI コマンドを実行するときに、組織の証跡 (証跡 ARN を含む) を表示できます describe-trails (ただし、メンバーアカウントは、を使用するときは名前ではなく、組織の証跡の ARN を使用する必要があります AWS CLI）。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、記録するイベントの種類の変更、または組織の証跡のいずれかの変更を行うアクセス許可は付与されていません。 AWS Organizationsの詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。

CloudTrail Lake とイベントデータストア

CloudTrail Lake を使用すると、イベントに対してきめ細かな SQL ベースのクエリを実行し、独自のアプリケーションや CloudTrail と統合されているパートナー AWSなど、外部のソースからのイベントをログに記録できます。CloudTrail Lake を使用するために、アカウントで証跡を設定しておく必要はありません。

イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリ結果を S3 バケットに保存することもできます。CloudTrail Lake は、の組織からのイベントをイベントデータストア AWS Organizations に保存したり、複数のリージョンやアカウントからのイベントを保存したりすることもできます。CloudTrail Lake は、セキュリティ関連の調査とトラブルシューティングを実行するために役立つ監査ソリューションの一部です。詳細については、AWS CloudTrail Lake の使用およびCloudTrail Lake の概念と用語を参照してください。

CloudTrail Insights

CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、ユーザーが API コールに記録された異常な量の API コールやエラー AWS を特定して応答するのに役立ちます。Insights イベントは、異常なレベルの write 管理 API アクティビティ、または管理 API アクティビティで返された異常なレベルのエラーの記録です。証跡とイベントデータストアのデフォルトでは、CloudTrail Insights イベントはログ記録されません。コンソールでは、証跡あるいはイベントデータストアを作成または更新する際に Insights イベントがログ記録されるように選択できます。CloudTrail API を使用すると、PutInsightSelectors API で既存の証跡もしくはイベントデータストアの設定を編集することで、Insights イベントをログ記録できます。CloudTrail Insights イベントの記録には追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「CloudTrail Insights の使用」と「AWS CloudTrail 料金表」を参照してください。

[タグ]

タグとは、CloudTrail の証跡、イベントデータストア、チャネル、CloudTrail ログファイルの保存に使用される S3 バケット、 AWS Organizations 組織および組織単位など、 AWS リソースに割り当てることができる、ユーザー定義のキーとオプションの値のことです。証跡と証跡のログファイルを保存するために使用する S3 バケットに同じタグを追加することで、AWS Resource Groups でこれらのリソースを管理、検索、およびフィルタリングするのが簡単になります。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、「 AWS リソースのタグ付けのベストプラクティス」を参照してください。

AWS Security Token Service および CloudTrail

AWS Security Token Service （AWS STS) は、グローバルエンドポイントを持つサービスであり、リージョン固有のエンドポイントもサポートしています。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。例えば、 https://cloudtrail.us-west-2.amazonaws.comは AWS CloudTrail サービスの米国西部 (オレゴン) リージョンエントリポイントです。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。

AWS STS リージョン固有のエンドポイントを使用する場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。 AWS STS リージョンエンドポイントの詳細については、IAM ユーザーガイドの「 AWS リージョン AWS STS でののアクティブ化と非アクティブ化」を参照してください。

AWS リージョンエンドポイントの完全なリストについては、AWS 「」の「リージョンとエンドポイント」を参照してくださいAWS 全般のリファレンス。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。

グローバルサービスイベント

重要

2021 年 11 月 22 日に、は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。これで、Amazon CloudFront によって作成されたイベント AWS Identity and Access Management、および AWS STS が作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、CloudTrail がこれらのサービスをどのように他の AWS グローバルサービスのサービスと整合性を持たせるかが決まります。米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半のグローバルサービスイベントのログ記録の有効化と無効化を参照してください。

対照的に、CloudTrail コンソールのイベント履歴と aws cloudtrail lookup-events コマンドは、これらのイベントが発生した AWS リージョンにイベントを表示します。

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。 AWS Identity and Access Management (IAM) AWS STSや Amazon CloudFront などのグローバルサービスの場合、イベントはグローバルサービスを含むすべての証跡に配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。

グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。

デフォルトでは、グローバルサービスイベントは CloudTrail コンソールを使用して作成された証跡に配信されます。イベントは、その証跡のバケットに配信されます。
単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討してください。詳しくは、グローバルサービスイベントのログ記録の有効化と無効化を参照してください。
証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に有効になります。

証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

例:

証跡は CloudTrail コンソールで作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。
単一リージョンの証跡を複数作成したとします。
単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。

注記

、 AWS SDKs AWS CLI、または CloudTrail API を使用して証跡を作成または更新するときに、証跡のグローバルサービスイベントを含めるか除外するかを指定できます。CloudTrail コンソールからグローバルサービスイベントのログ記録を設定することはできません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CloudTrail の仕組み

サポート対象のリージョン