CloudTrail のコンセプト - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail のコンセプト

このセクションでは、CloudTrail に関連する概念について簡単に説明します。

CloudTrail のイベント

CloudTrail のイベントは、 AWS アカウントのアクティビティの記録です。このアクティビティは、IAM アイデンティティによるアクション、または CloudTrail が監視するサービスです。CloudTrail イベントは、、 AWS SDKs AWS Management Console、コマンドラインツール、およびその他の AWS サービスを通じて行われた API アカウントアクティビティと非 API アカウントアクティビティの両方の履歴を提供します。

CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。

CloudTrail は 4 種類のイベントをログに記録します。

すべてのイベントタイプで、CloudTrail JSON ログ形式が使用されます。

デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。

CloudTrail と AWS のサービス の統合方法については、「」を参照してくださいAWS のサービストピック CloudTrail

管理イベント

管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。

管理イベントには、次のようなものがあります。

  • セキュリティの設定 (API AWS Identity and Access Management AttachRolePolicyオペレーションなど)。

  • デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション)。

  • データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション)。

  • ログ記録の設定 (API AWS CloudTrail CreateTrailオペレーションなど)。

管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。

デフォルトでは、CloudTrail 証跡と CloudTrail Lake イベントデータはログ管理イベントを保存します。管理イベントのログ記録に関する詳細については、「管理イベントのログ記録」を参照してください。

データイベント

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。

データイベントには、次のようなものがあります。

次の表は、証跡とイベントデータストアで使用できるリソースタイプを示しています。リソースタイプ (コンソール) 列には、コンソールで適切な選択が表示されます。resources.type 値列には、 AWS CLI または CloudTrail APIs を使用して証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type値が表示されます。

証跡の場合、ベーシックまたは高度なイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) の Amazon S3 オブジェクトのデータイベントのログを記録することができます。残りの行に表示されるリソースタイプをログに記録するには、高度なイベントセレクタのみを使用できます。

イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。

AWS のサービス 説明 リソースタイプ (コンソール) resources.type 値
Amazon DynamoDB

テーブルでの Amazon DynamoDB アイテムレベルの API アクティビティ (例: PutItemDeleteItem、および UpdateItem API オペレーション)。

注記

ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するには、eventName フィールドにフィルタを追加します。

DynamoDB

AWS::DynamoDB::Table

AWS Lambda

AWS Lambda 関数実行アクティビティ ( Invoke API)。

Lambda AWS::Lambda::Function
Amazon S3

汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObjectDeleteObjectPutObject API オペレーション)。

S3 AWS::S3::Object
AWS AppConfig

StartConfigurationSession や への呼び出しなどの設定オペレーションの AWS AppConfig API アクティビティGetLatestConfiguration

AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AppSync GraphQL API での APIs AWS AppSync アクティビティ

AppSync GraphQL AWS::AppSync::GraphQL
AWS B2B データ交換

GetTransformerJob および StartTransformerJob の呼び出しなど、Transformer 操作用の B2B データ交換 API アクティビティ。

B2B データ交換 AWS::B2BI::Transformer
AWS Backup

AWS Backup 検索ジョブでの検索データ API アクティビティ。

AWS Backup データ APIsの検索 AWS::Backup::SearchJob
Amazon Bedrock エージェントエイリアスでの Amazon Bedrock API アクティビティ Bedrock エージェントエイリアス AWS::Bedrock::AgentAlias
Amazon Bedrock 非同期呼び出しに対する Amazon Bedrock API アクティビティ。 Bedrock 非同期呼び出し AWS::Bedrock::AsyncInvoke
Amazon Bedrock フローエイリアスでの Amazon Bedrock API アクティビティ。 [Bedrock フローエイリアス] AWS::Bedrock::FlowAlias
Amazon Bedrock ガードレールでの Amazon Bedrock API アクティビティ。 [Bedrock ガードレール] AWS::Bedrock::Guardrail
Amazon Bedrock インラインエージェントの Amazon Bedrock API アクティビティ。 Bedrock Invoke Inline-Agent AWS::Bedrock::InlineAgent
Amazon Bedrock ナレッジベースでの Amazon Bedrock API アクティビティ Bedrock ナレッジベース AWS::Bedrock::KnowledgeBase
Amazon Bedrock モデルでの Amazon Bedrock API アクティビティ。 [Bedrock モデル] AWS::Bedrock::Model
Amazon Bedrock プロンプトに対する Amazon Bedrock API アクティビティ。 Bedrock プロンプト AWS::Bedrock::PromptVersion
Amazon CloudFront

KeyValueStore での CloudFront API アクティビティ。

CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map 名前空間での AWS Cloud Map API アクティビティ AWS Cloud Map 名前空間 AWS::ServiceDiscovery::Namespace
AWS Cloud Map サービスでの AWS Cloud Map API アクティビティ AWS Cloud Map service AWS::ServiceDiscovery::Service
AWS CloudTrail

外部からの AWSイベントをログに記録するために使用される CloudTrail Lake チャネル での CloudTrail PutAuditEvents アクティビティ。

[CloudTrail チャネル] AWS::CloudTrail::Channel
アマゾン クラウドWatch

メトリクスに対する Amazon CloudWatch API アクティビティ

[CloudWatch メトリクス] AWS::CloudWatch::Metric
Amazon CloudWatch RUM

アプリモニターでの Amazon CloudWatch RUM API アクティビティ。

[RUM アプリモニター] AWS::RUM::AppMonitor
Amazon CodeGuru Profiler プロファイリンググループでの CodeGuru Profiler API アクティビティ。 CodeGuru Profiler プロファイリンググループ AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer カスタマイズでの Amazon CodeWhisperer API アクティビティ。 CodeWhisperer のカスタマイズ AWS::CodeWhisperer::Customization
Amazon CodeWhisperer プロファイル上の Amazon CodeWhisperer API アクティビティ。 CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。

Cognito アイデンティティプール AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange アセットに対する API アクティビティ。

[Data Exchange アセット]

AWS::DataExchange::Asset

AWS Deadline Cloud

フリートでの Deadline Cloud API アクティビティ。

Deadline Cloud フリート

AWS::Deadline::Fleet

AWS Deadline Cloud

ジョブでの Deadline Cloud API アクティビティ。

Deadline Cloud ジョブ

AWS::Deadline::Job

AWS Deadline Cloud

キューでの Deadline Cloud API アクティビティ。

Deadline Cloud キュー

AWS::Deadline::Queue

AWS Deadline Cloud

ワーカーに対する Deadline Cloud API アクティビティ。

Deadline Cloud ワーカー

AWS::Deadline::Worker

Amazon DynamoDB

ストリームに対する Amazon DynamoDB API アクティビティ

DynamoDB Streams AWS::DynamoDB::Stream
AWS エンドユーザーメッセージング SMS 発信元 ID AWS に対する End User Messaging SMS API アクティビティ。 [SMS Voice 発信元 ID] AWS::SMSVoice::OriginationIdentity
AWS エンドユーザーメッセージング SMS メッセージに対するAWS エンドユーザーメッセージング SMS API アクティビティ。 SMS Voice メッセージ AWS::SMSVoice::Message
AWS エンドユーザーメッセージングソーシャル 電話番号 IDs に対する AWS End User Messaging Social API アクティビティ。 [ソーシャルメッセージ電話番号 ID] AWS::SocialMessaging::PhoneNumberId
AWS エンドユーザーメッセージングソーシャル AWS Waba IDs でのエンドユーザーメッセージングソーシャル API アクティビティ。 ソーシャルメッセージング Waba ID AWS::SocialMessaging::WabaId
Amazon Elastic Block Store

Amazon EBS スナップショットの PutSnapshotBlockGetSnapshotBlock、および ListChangedBlocks などの Amazon Elastic Block Store (EBS) ダイレクト API。

Amazon EBS ダイレクト API AWS::EC2::Snapshot
Amazon EMR ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ EMR ログ先行書き込みワークスペース AWS::EMRWAL::Workspace
Amazon FinSpace

環境に対する Amazon FinSpace API アクティビティ。

FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。

Lake Formation AWS::Glue::Table
アマゾン GuardDuty

検出器 に対する Amazon GuardDuty API アクティビティ。

GuardDuty ディテクター AWS::GuardDuty::Detector
AWS HealthImaging

データストアでのAWS HealthImaging API アクティビティ。

[医療用画像データストア] AWS::MedicalImaging::Datastore
AWS IoT

証明書AWS IoT API アクティビティ

IoT 証明書 AWS::IoT::Certificate
AWS IoT

モノに対する AWS IoT API アクティビティ

[IoT モノ] AWS::IoT::Thing
AWS IoT Greengrass Version 2

コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ

注記

Greengrass はアクセス拒否イベントのログを記録しません。

[IoT Greengrass コンポーネントバージョン] AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ

注記

Greengrass はアクセス拒否イベントのログを記録しません。

[IoT Greengrass デプロイ] AWS::GreengrassV2::Deployment
AWS IoT SiteWise

アセット上の IoT SiteWise API アクティビティ

[IoT SiteWise アセット] AWS::IoTSiteWise::Asset
AWS IoT SiteWise

時系列上の IoT SiteWise API アクティビティ

[IoT SiteWise 時系列] AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise アシスタント

会話での Sitewise Assistant API アクティビティ。

Sitewise Assistant の会話 AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

エンティティ上の IoT TwinMaker API アクティビティ。

[IoT TwinMaker エンティティ] AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

ワークスペース上の IoT TwinMaker API アクティビティ。

[IoT TwinMaker ワークスペース] AWS::IoTTwinMaker::Workspace
Amazon Kendra インテリジェントランキング

リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。

Kendra ランキング AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (Apache Cassandra 向け) テーブル上の Amazon Keyspaces API アクティビティ [Cassandra テーブル] AWS::Cassandra::Table
Amazon Kinesis Data Streams ストリーム 上の Kinesis Data Streams API アクティビティ。 [Kinesis ストリーム] AWS::Kinesis::Stream
Amazon Kinesis Data Streams ストリームコンシューマー上の Kinesis Data Streams API アクティビティ。 [Kinesis ストリームコンシューマー] AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams GetMediaPutMedia への呼び出しなど、ビデオストリーム上の Amazon Kinesis API アクティビティ。 Kinesis ビデオストリーム AWS::KinesisVideo::Stream
Amazon Location Maps Amazon Location Maps API アクティビティ。 ジオマップ AWS::GeoMaps::Provider
Amazon Location の場所 Amazon Location Places API アクティビティ。 地理的場所 AWS::GeoPlaces::Provider
Amazon Location Routes Amazon Location Routes API アクティビティ。 地域ルート AWS::GeoRoutes::Provider
Amazon Machine Learning ML モデルの機械学習 API アクティビティ。 [機械学習 MlModel] AWS::MachineLearning::MlModel
Amazon Managed Blockchain

ネットワーク上の Amazon Managed Blockchain API アクティビティ。

Managed Blockchain ネットワーク AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

eth_getBalanceeth_getBlockByNumber などの Ethereum ノードに対する Amazon Managed Blockchain JSON-RPC コール。

Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Managed Workflows for Apache Airflow

環境での Amazon MWAA API アクティビティ。

マネージド Apache Airflow AWS::MWAA::Environment
Amazon Neptune Graph

Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。

Neptune Graph AWS::NeptuneGraph::Graph
Amazon One Enterprise

UKey の Amazon One Enterprise API アクティビティ。

[Amazon One UKey] AWS::One::UKey
Amazon One Enterprise

ユーザーの Amazon One Enterprise API アクティビティ。

[Amazon One User] AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography エイリアスの API アクティビティ。 [Payment Cryptography Alias] AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography キーに対する API アクティビティ。 [Payment Cryptography Key] AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Connector for Active Directory API アクティビティ。

AWS Private CA Connector for Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA SCEP API アクティビティ用のコネクタ。

AWS Private CA SCEP 用コネクタ AWS::PCAConnectorSCEP::Connector
Amazon Q Apps

Amazon Q Apps の Data API アクティビティ。

[Amazon Q Apps] AWS::QApps::QApp
Amazon Q Apps

Amazon Q App セッションのデータ API アクティビティ。

Amazon Q App セッション AWS::QApps::QAppSession
Amazon Q Business

アプリケーション上の Amazon Q Business API アクティビティ

Amazon Q Business アプリケーション AWS::QBusiness::Application
Amazon Q Business

データソース上の Amazon Q Business API アクティビティ

Amazon Q Business データソース AWS::QBusiness::DataSource
Amazon Q Business

インデックスでの Amazon Q Business API アクティビティ

Amazon Q Business インデックス AWS::QBusiness::Index
Amazon Q Business

ウェブエクスペリエンスでの Amazon Q Business API アクティビティ

Amazon Q Business ウェブエクスペリエンス AWS::QBusiness::WebExperience
Amazon Q Developer

統合での Amazon Q Developer API アクティビティ。

Q Developer の統合 AWS::QDeveloper::Integration
Amazon Q Developer

運用調査に関する Amazon Q Developer API アクティビティ

AIOps 調査グループ AWS::AIOps::InvestigationGroup
Amazon RDS

DB クラスターでの Amazon RDS API アクティビティ

[RDS Data API – DB クラスター] AWS::RDS::DBCluster
AWS Resource Explorer

マネージドビューでの Resource Explorer API アクティビティ。

AWS Resource Explorer マネージドビュー AWS::ResourceExplorer2::ManagedView
AWS Resource Explorer

ビューでの Resource Explorer API アクティビティ。

AWS Resource Explorer view (表示) AWS::ResourceExplorer2::View
Amazon S3

アクセスポイントでの Amazon S3 API アクティビティ

S3 アクセスポイント AWS::S3::AccessPoint
Amazon S3

ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObjectDeleteObjectPutObject API オペレーション)。

[S3 Express] AWS::S3Express::Object
Amazon S3

CompleteMultipartUpload および GetObject への呼び出しなどの Amazon S3 Object Lambda アクセスポイント API アクティビティ

S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 Tables

テーブルに対する Amazon S3 API アクティビティ。

S3 テーブル AWS::S3Tables::Table
Amazon S3 Tables

テーブルバケットでの Amazon S3 API アクティビティ。

S3 テーブルバケット AWS::S3Tables::TableBucket
Amazon S3 on Outposts

Amazon S3 on Outposts オブジェクトレベル API アクティビティ。

S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker AI エンドポイントでの Amazon SageMaker AI InvokeEndpointWithResponseStreamアクティビティ。 SageMaker AI エンドポイント AWS::SageMaker::Endpoint
Amazon SageMaker AI

特徴量ストアでの Amazon SageMaker AI API アクティビティ。

SageMaker AI 特徴量ストア AWS::SageMaker::FeatureGroup
Amazon SageMaker AI

実験トライアルコンポーネントに対する Amazon SageMaker AI API アクティビティ。

SageMaker AI メトリクス実験トライアルコンポーネント AWS::SageMaker::ExperimentTrialComponent
AWS Signer

署名ジョブに対する Signer API アクティビティ。

署名者署名ジョブ AWS::Signer::SigningJob
AWS Signer

署名プロファイルに対する Signer API アクティビティ。

署名者署名プロファイル AWS::Signer::SigningProfile
Amazon SimpleDB

ドメインでの Amazon SimpleDB API アクティビティ。

SimpleDB ドメイン AWS::SDB::Domain
Amazon SNS

プラットフォームエンドポイントでの Amazon SNS Publish API オペレーション。

SNS プラットフォームエンドポイント AWS::SNS::PlatformEndpoint
Amazon SNS

トピックに関する Amazon SNS Publish および PublishBatch API オペレーション。

SNS トピック AWS::SNS::Topic
Amazon SQS

メッセージでの Amazon SQS API アクティビティ

SQS AWS::SQS::Queue
AWS Step Functions

アクティビティに対する Step Functions API アクティビティ。

Step Functions AWS::StepFunctions::Activity
AWS Step Functions

ステートマシンでの Step Functions API アクティビティ

Step Functions ステートマシン AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain インスタンスでの API アクティビティ。

[Supply Chain] AWS::SCN::Instance
Amazon SWF

ドメインでの Amazon SWF API アクティビティ

[SWF ドメイン] AWS::SWF::Domain
AWS Systems Manager コントロールチャネルでの Systems Manager API アクティビティ Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager マネージドノードでの Systems Manager API アクティビティ Systems Manager マネージドノード AWS::SSM::ManagedNode
Amazon Timestream データベース上の Amazon Timestream Query API アクティビティ。 Timestream データベース AWS::Timestream::Database
Amazon Timestream リージョンエンドポイントでの Amazon Timestream API アクティビティ。 Timestream リージョンエンドポイント AWS::Timestream::RegionalEndpoint
Amazon Timestream テーブル上の Amazon Timestream Query API アクティビティ。 Timestream テーブル AWS::Timestream::Table
Amazon Verified Permissions

ポリシーストア上の Amazon Verified Permissions API アクティビティ。

Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client デバイスでの WorkSpaces シンクライアント API アクティビティ。 シンクライアントデバイス AWS::ThinClient::Device
Amazon WorkSpaces Thin Client 環境上の WorkSpaces シンクライアント API アクティビティ。 シンクライアント環境 AWS::ThinClient::Environment
AWS X-Ray

トレース での X-Ray API アクティビティ

[X-Ray トレース] AWS::XRay::Trace

証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。CloudTrail データイベントを記録するには、アクティビティを収集する各リソースタイプを明示的に追加する必要があります。データイベントのログ記録の詳細については、「データイベントをログ記録する」を参照してください。

データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

ネットワークアクティビティイベント

注記

ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。

CloudTrail ネットワークアクティビティイベントを使用すると、VPC エンドポイントの所有者は、プライベート VPC から への VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。ネットワークアクティビティイベントでは、VPC 内で実行されたリソースオペレーションについて知ることができます。

次のサービスのネットワークアクティビティイベントを記録できます。

  • AWS CloudTrail

  • Amazon EC2

  • AWS KMS

  • AWS Secrets Manager

証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。

ネットワークアクティビティイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

Insights イベント

CloudTrail Insights イベントは、CloudTrail の管理アクティビティを分析し、 AWS アカウントの異常な API コール率やエラー率のアクティビティをキャプチャします。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。CloudTrail の証跡あるいはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、CloudTrail がアカウントの API 使用量またはエラー率のログ記録において通常の使用パターンとは大きく異なる変更を検出した場合にのみログ記録されます。詳細については、「CloudTrail Insights の使用」を参照してください。

Insights イベントを生成する可能性のあるアクティビティの例を次に示します。

  • 通常、アカウントは Amazon S3 deleteBucket API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個の deleteBucket API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

  • 通常、アカウントは Amazon EC2 AuthorizeSecurityGroupIngress API のコールを 1 分あたり 20 個を記録しますが、アカウントは AuthorizeSecurityGroupIngress へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

  • 通常は、アカウントで AWS Identity and Access Management API DeleteInstanceProfile に関する AccessDeniedException エラーのログ記録が 7 日間に 1 つもありません。アカウントが DeleteInstanceProfile API コールで 1 分あたり平均 12 AccessDeniedException エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

CloudTrail Insights イベントをログ記録するには、新規または既存の証跡もしくはイベントデータストアにおいて、Insights イベントを明示的に有効化する必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金」を参照してください。

イベント履歴

CloudTrail イベント履歴は、 AWS リージョンにおける過去 90 日間の CloudTrail 管理 イベントの表示、検索、ダウンロード可能、および不変な記録を提供します。この履歴を使用して、 AWS 、 AWS SDKs AWS Management Console、コマンドラインツール、およびその他の AWS サービスでアカウントで実行されたアクションを可視化できます。CloudTrail コンソールでイベント履歴の表示をカスタマイズするには、表示する列を選択します。詳細については、「CloudTrail イベント履歴の操作」を参照してください。

追跡

証跡とは、Amazon S3 バケット、およびオプションで CloudWatch Logs および Amazon EventBridge に CloudTrail イベントを配信できるようにするための設定です。証跡を使用して、配信する CloudTrail イベントを選択し、CloudTrail イベントログファイルを AWS KMS キーで暗号化し、ログファイル配信用の Amazon SNS 通知を設定できます。証跡の作成と管理の詳細については、「の証跡の作成 AWS アカウント」を参照してください。

マルチリージョン証拠と単一リージョン証跡

AWS アカウントのマルチリージョンとシングルリージョンの両方の証跡を作成できます。

マルチリージョン証跡

マルチリージョン証跡を作成すると、CloudTrail は作業しているAWS パーティション内のすべての AWS リージョン にイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョンの証跡を作成した後に AWS リージョン が追加された場合、その新しいリージョンは自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンになります。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、コンソールを使用した証跡の作成および1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用を参照してください。

単一リージョンの証跡

単一リージョンの証跡を作成すると、CloudTrail はそのリージョンにのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが渡されます。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加で単一の証跡を作成した場合、同じ S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、 AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI 」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

マルチリージョン証跡には以下の利点があります。

  • 証跡の設定が、すべての AWS リージョンに一貫性を持って適用されます。

  • すべての から CloudTrail イベントを 1 つの Amazon S3 バケット AWS リージョン で受信し、オプションで CloudWatch Logs ロググループで受信します。

  • すべての の証跡設定を 1 つの場所 AWS リージョン から管理します。

証跡をすべての AWS リージョンに適用すると、CloudTrail は特定のリージョンで作成した証跡を使用して、作業しているAWS パーティション内の他のすべてのリージョンで同じ設定の証跡を作成します。

その結果、次のことが起こります。

  • CloudTrail は、アカウントアクティビティのログファイルをすべての AWS リージョンから、指定した単一の Amazon S3 バケットに配信し、オプションで CloudWatch Logs ロググループに配信します。

  • 証跡に Amazon SNS トピックを設定した場合、すべての AWS リージョンでのログファイル配信に関する SNS 通知がその 1 つの SNS トピックに送信されます。

証跡がマルチリージョンかシングルリージョンかにかかわらず、Amazon EventBridge に送信されたイベントは、単一のイベントバスではなく、各リージョンのイベントバスで受信されます。

1 リージョンに対する複数の証跡

デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。

CloudTrail では、リージョンごとに 5 つの証跡がサポートされます。マルチリージョン証跡は、リージョンごとに 1 つの証跡としてカウントされます。

次に示すのは、1 つのリージョンに 5 つの証跡を使用する場合の例です。

  • 米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。

  • 米国西部 (北カリフォルニア) リージョンに適用される証跡をさらに 2 つ作成します。

  • アジアパシフィック (シドニー) リージョンに別のマルチリージョン証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。

CloudTrail コンソールの [証拠] ページに、 AWS リージョン の証跡リストを表示できます。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

組織の証跡

組織の証跡は、管理アカウントと AWS Organizations 組織内のすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、CloudWatch Logs、および Amazon EventBridge に配信できるようにする設定です。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。

コンソールを使用して作成されたすべての組織の証跡は、組織内の各メンバーアカウントで有効 AWS リージョン になっている からのイベントをログに記録するマルチリージョンの組織の証跡です。組織内のすべての AWS パーティションのイベントをログに記録するには、各パーティションにマルチリージョン組織の証跡を作成します。 AWS CLIを使用して、単一リージョンまたはマルチリージョンの組織証跡を作成できます。単一リージョンの証跡を作成する場合は、証跡の AWS リージョン (ホームリージョンとも呼ばれる) でのみアクティビティを記録します。

のほとんどの AWS リージョン はデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、「AWS Account Management Reference Guide」の「Considerations before enabling and disabling Regions」を参照してください。CloudTrail がサポートするリージョンのリストについては、「CloudTrail がサポートされているリージョン」を参照してください。

組織の証跡を作成すると、指定した名前の証跡のコピーが組織に属するすべてのアカウントに作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトインリージョンでない場合、証跡のコピーは各メンバーアカウントの組織の証跡のホームリージョンに作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトインリージョンである場合、そのリージョンを有効にしたメンバーアカウントの組織の証跡のホームリージョンに証跡のコピーが作成されます。

  • 組織の証跡がマルチリージョンで、証跡のホームリージョンオプトインリージョンでない場合、証跡のコピーは各メンバーアカウントで有効になっている各 AWS リージョン に作成されます。メンバーアカウントがオプトインリージョンを有効にすると、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンにマルチリージョン証跡のコピーが作成されます。

  • 組織の証跡がマルチリージョンで、ホームリージョンオプトインリージョンの場合、マルチリージョン証跡が作成された AWS リージョン をオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、アカウントで欧州 (スペイン) リージョンを有効にしているメンバーアカウントのみが、そのアカウントアクティビティを組織の証跡に送信します。

注記

CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織証跡を作成します。検証の失敗例を次に示します。

  • Amazon S3 バケットポリシーに誤りがある

  • Amazon SNS トピックポリシーに誤りがある

  • CloudWatch Logs ロググループに配信できない

  • KMS キーを使用して暗号化するアクセス許可が不十分

CloudTrail アクセス許可を持つメンバーアカウントは、CloudTrail コンソールで証跡の詳細ページを表示するか、 コマンドを実行して AWS CLI get-trail-status、組織の証跡の検証エラーを確認できます。

メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、アカウント AWS から CloudTrail コンソールにログインするとき、または などの AWS CLI コマンドを実行するときに、組織の証跡 (証跡 ARN を含む) を表示できます describe-trails (ただし、メンバーアカウントは、 を使用するときは名前ではなく、組織の証跡の ARN を使用する必要があります AWS CLI)。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、記録するイベントの種類の変更、または組織の証跡のいずれかの変更を行うアクセス許可は付与されていません。 AWS Organizationsの詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。

CloudTrail Lake とイベントデータストア

CloudTrail Lake を使用すると、イベントに対してきめ細かな SQL ベースのクエリを実行し、独自のアプリケーションや CloudTrail と統合されているパートナー AWSなど、外部のソースからのイベントをログに記録できます。CloudTrail Lake を使用するために、アカウントで証跡を設定しておく必要はありません。

イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリ結果を S3 バケットに保存することもできます。CloudTrail Lake は、 の組織からのイベントをイベントデータストア AWS Organizations に保存したり、複数のリージョンやアカウントからのイベントを保存したりすることもできます。CloudTrail Lake は、セキュリティ関連の調査とトラブルシューティングを実行するために役立つ監査ソリューションの一部です。詳細については、AWS CloudTrail Lake の使用およびCloudTrail Lake の概念と用語を参照してください。

CloudTrail Insights

CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、ユーザーが API コールに記録された異常な量の API コールやエラー AWS を特定して応答するのに役立ちます。Insights イベントは、異常なレベルの write 管理 API アクティビティ、または管理 API アクティビティで返された異常なレベルのエラーの記録です。証跡とイベントデータストアのデフォルトでは、CloudTrail Insights イベントはログ記録されません。コンソールでは、証跡あるいはイベントデータストアを作成または更新する際に Insights イベントがログ記録されるように選択できます。CloudTrail API を使用すると、PutInsightSelectors API で既存の証跡もしくはイベントデータストアの設定を編集することで、Insights イベントをログ記録できます。CloudTrail Insights イベントの記録には追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「CloudTrail Insights の使用」と「AWS CloudTrail 料金表」を参照してください。

[タグ]

タグとは、CloudTrail の証跡、イベントデータストア、チャネル、CloudTrail ログファイルの保存に使用される S3 バケット、 AWS Organizations 組織および組織単位など、 AWS リソースに割り当てることができる、ユーザー定義のキーとオプションの値のことです。証跡と証跡のログファイルを保存するために使用する S3 バケットに同じタグを追加することで、AWS Resource Groups でこれらのリソースを管理、検索、およびフィルタリングするのが簡単になります。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、「 AWS リソースのタグ付けのベストプラクティス」を参照してください。

AWS Security Token Service および CloudTrail

AWS Security Token Service (AWS STS) は、グローバルエンドポイントを持つサービスであり、リージョン固有のエンドポイントもサポートしています。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。例えば、 https://cloudtrail.us-west-2.amazonaws.comは AWS CloudTrail サービスの米国西部 (オレゴン) リージョンエントリポイントです。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。

AWS STS リージョン固有のエンドポイントを使用する場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。 AWS STS リージョンエンドポイントの詳細については、IAM ユーザーガイドの「 AWS リージョン AWS STS での のアクティブ化と非アクティブ化」を参照してください。

AWS リージョンエンドポイントの完全なリストについては、AWS 「」の「リージョンとエンドポイント」を参照してくださいAWS 全般のリファレンス。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。

グローバルサービスイベント

重要

2021 年 11 月 22 日に、 は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。これで、Amazon CloudFront によって作成されたイベント AWS Identity and Access Management、および AWS STS が作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、CloudTrail がこれらのサービスをどのように他の AWS グローバルサービスのサービスと整合性を持たせるかが決まります。米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

対照的に、CloudTrail コンソールのイベント履歴aws cloudtrail lookup-events コマンドは、これらのイベントが発生した AWS リージョン にイベントを表示します。

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。 AWS Identity and Access Management (IAM) AWS STSや Amazon CloudFront などのグローバルサービスの場合、イベントはグローバルサービスを含むすべての証跡に配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。

グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。

  • デフォルトでは、グローバルサービスイベントは CloudTrail コンソールを使用して作成された証跡に配信されます。イベントは、その証跡のバケットに配信されます。

  • 単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討してください。詳しくは、グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

  • 証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に有効になります。

    証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

例:

  1. 証跡は CloudTrail コンソールで作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。

  2. 単一リージョンの証跡を複数作成したとします。

  3. 単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。

注記

、 AWS SDKs AWS CLI、または CloudTrail API を使用して証跡を作成または更新するときに、証跡のグローバルサービスイベントを含めるか除外するかを指定できます。CloudTrail コンソールからグローバルサービスイベントのログ記録を設定することはできません。