翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudTrail チュートリアルの開始方法
<a name="cloudtrail-tutorial"></a>

を初めて使用する場合 AWS CloudTrail、これらのチュートリアルは、その機能の使用方法を学ぶのに役立ちます。CloudTrail 機能を使用するには、適切なアクセス許可が必要です。このページでは、CloudTrail で使用できるマネージドポリシーについて説明し、アクセス許可を付与する方法に関する情報を提供します。

**Topics**
+ [CloudTrail を使用する権限を付与する](#tutorial-grant-permissions)
+ [イベント履歴を表示する](tutorial-event-history.md)
+ [管理イベントを記録する証跡を作成する](tutorial-trail.md)
+ [S3 データイベント用にイベントデータストアを作成する](tutorial-lake-S3.md)

## CloudTrail を使用する権限を付与する
<a name="tutorial-grant-permissions"></a>

証跡、イベントデータストア、チャネルなどの CloudTrail リソースを作成、更新、管理するには、CloudTrail を使用するためのアクセス許可を付与する必要があります。このセクションでは、CloudTrail で使用できる マネージドポリシーについて説明します。

**注記**  
CloudTrail の管理タスクを実行するためにユーザーに付与するアクセス許可は、Amazon S3 バケットにログファイルを配信、または Amazon SNS トピックに通知を送信するために、CloudTrail に必要なアクセス許可と同じではありません。これらのアクセス許可の詳細については、「[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md)」を参照してください。  
Amazon CloudWatch Logs との統合を設定した場合、CloudTrail には Amazon CloudWatch Logs ロググループにイベントを配信するためのロールも必要です。CloudTrail が使用するロールを作成する必要があります。詳細については、「[CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)」および「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」を参照してください。

CloudTrail では、次の AWS 管理ポリシーを使用できます。
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) — このポリシーは、証跡、イベントデータストア、チャネルなどの CloudTrail リソース上の CloudTrail アクションへのフルアクセスを提供します。このポリシーは、CloudTrail 証跡、イベントデータストア、およびチャネルを作成、更新、削除するために必要なアクセス許可を提供します。

   また、これらのポリシーには、Amazon S3 バケット、CloudWatch Logs のロググループ、および証跡の Amazon SNS トピックを管理するためのアクセス許可も提供します。ただし、`AWSCloudTrail_FullAccess`管理ポリシーは、Amazon S3 バケット、CloudWatch Logs ログのロググループ、または Amazon SNS トピックを削除するためのアクセス許可は提供していません。他の AWS サービスの マネージドポリシーの詳細については、「 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)」を参照してください。
**注記**  
この**AWSCloudTrail\$1FullAccess**ポリシーは、 間で広く共有されることを意図していません AWS アカウント。このロールを持つユーザーは、 AWS アカウントで最も機密かつ重要な監査機能を無効にしたり、再設定したりすることができます。このため、このポリシーはアカウント管理者にのみ適用する必要があります。このポリシーの使用を厳重に管理および監視する必要があります。
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) — このポリシーは最近のイベントやイベント履歴を含む CloudTrail コンソールを表示する権限を付与します。また、このポリシーにより、既存の証跡、イベントデータストア、およびチャネルを表示することもできます。このポリシーが適用されているロールとユーザーは[イベント履歴をダウンロード](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events)できますが、証跡、イベントデータストア、またはチャンネルを作成または更新することはできません。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。

# イベント履歴を表示する
<a name="tutorial-event-history"></a>

このセクションでは、CloudTrail コンソールの CloudTrail **イベント履歴**ページを使用して、 AWS アカウント 現在の の過去 90 日間の管理イベントを表示する方法について説明します AWS リージョン。

****[イベント履歴]** を表示するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

1. ナビゲーションペインで [**Event history (イベント履歴)**] を選択してください。最新のイベントが最初に表示された、フィルタリングされたイベントのリストが表示されます。イベントのデフォルトのフィルターは**読み取り専用**で、[**false**] に設定されています。このフィルターをクリアするには、フィルターの右側にある [**X**] をクリックします。**[イベント履歴]** 内のイベントは、単一の属性でイベントをフィルタリングして検索できます。  
![\[読み取り専用フィルターを強調表示している CloudTrail の [イベント履歴] ページ\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)

1. フィルタリングする属性を選択し、その属性の完全な値を入力します。CloudTrail は部分的な値をフィルタリングできません。たとえば、すべてのコンソールログインイベントを表示するには、**[イベント名]** フィルターを選択して、**[ConsoleLogin]** を属性値に指定します。  
![\[ConsoleLogin イベントでフィルタリングされた CloudTrail の [イベント履歴] ページ\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)

   または、最近の CloudTrail 管理イベントを表示するには、**[イベントソース]** を選択し、`cloudtrail.amazonaws.com` を指定します。サービスが CloudTrail にログ記録するイベントの詳細については、サービスの「API リファレンス」を参照してください。  
![\[特定のイベントソースでフィルタリングされた CloudTrail の [イベント履歴] ページ\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/event-history-event-source.png)

1. 特定の管理イベントを表示するには、イベント名を選択します。イベントの詳細ページでは、イベントの詳細を表示したり、参照されているリソースを表示したり、イベントレコードを表示したりできます。

1. イベントを比較するには、[**イベント履歴**] テーブルの左余白のチェックボックスをオンにして、最大 5 つのイベントを選択します。選択したイベントの詳細は **[イベント詳細の比較]** テーブルに並べて表示して比較できます。

1. イベント履歴を保存するには、CSV または JSON 形式のファイルとしてダウンロードします。イベント履歴のダウンロードには数分かかることがあります。  
![\[ダウンロードオプションが表示された CloudTrail [イベント履歴] ページ。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)

詳細については、「[CloudTrail イベント履歴の操作](view-cloudtrail-events.md)」を参照してください。

# 管理イベントを記録する証跡を作成する
<a name="tutorial-trail"></a>

最初の証跡では、すべての[管理イベント](cloudtrail-concepts.md#cloudtrail-concepts-management-events)をログ記録し、[データイベント](cloudtrail-concepts.md#cloudtrail-concepts-data-events)あるいは Insights イベントはログに記録しない証跡を作成することをお勧めします。管理イベントの例には、IAM `CreateUser` や `AttachRolePolicy` イベントなどのセキュリティイベント、`RunInstances` や `CreateBucket` などのリソースイベントが含まれています。CloudTrail コンソールで証跡を作成する一部として、証跡のログファイルを保存する Amazon S3 バケットを作成します。

**注記**  
AWS Control Tower は、ランディングゾーンを設定するときに、新しい CloudTrail 証跡ログ記録管理イベントを設定します。これは組織レベルの証跡であり、組織内の管理アカウントとすべてのメンバーアカウントに関する全ての管理イベントがログ記録されます。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[About logging in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html)」を参照してください。  
このチュートリアルでは、最初の証跡を作成することを前提としています。 AWS アカウント内の証跡の数と、それらの証跡の設定方法によっては、次の手順で費用が発生する場合と発生しない場合があります。CloudTrail はログファイルを Amazon S3 バケットに格納します。これには料金が発生します。料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」および「[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)」を参照してください。

**証跡を作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

1. **リージョン**セレクタで、証跡を作成する AWS リージョンを選択します。これは、証跡のホームリージョン です。
**注記**  
作成後に証跡を更新 AWS リージョン できるのは、ホームリージョンだけです。

1. CloudTrail サービスのホームページ、[**証跡**] ページ、または [**ダッシュボード**] ページの [**証跡**] セクションで、[**証跡の作成**] を選択します。

1. **[証跡名]** で、証跡に *management-events* などの名前を付けます。追跡の目的をすぐに識別できる名前を使用するのがベストプラクティスです。この例では、管理イベントをログに記録する追跡を作成しています。

1. **[組織内のすべてのアカウントで有効化]** は、デフォルト設定のままにします。このオプションは、Organizations でアカウントを設定しない限り、変更できません。

1. [**ストレージの場所**] で、[**新しい S3 バケットを作成する**] を選択すると、新しいバケットが作成されます。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。新しい S3 バケットを作成する場合は、デフォルトでバケットのサーバー側の暗号化が有効になっているため、IAM ポリシーに `s3:PutEncryptionConfiguration` アクションへのアクセス許可を含める必要があります。識別しやすい名前をバケットに付けます。

   ログを見つけやすくするために、新しいフォルダ (*プレフィックス*とも呼ばれます) を既存のバケットに作成して CloudTrail ログを保存します。
**注記**  
Amazon S3 バケットの名前はグローバルで一意であることが必要です。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[バケットの名前付け](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)」を参照してください。

1. [**ログファイル SSE-KMS 暗号化**] を無効にするには、このチェックボックスをオフにします。デフォルトでは、SSE-S3 の暗号化を使用して、ログファイルが暗号化されます。この設定の詳細については、「[Using server-side encryption with Amazon S3 managed keys (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。

1. [**Additional settings**] はデフォルト設定のままにします。

1. **[CloudWatch ログ]** のデフォルト設定はそののままにします。ここでは、Amazon CloudWatch Logs にログを送信しないでください。

1. (オプション) **[タグ]** セクションでは、証跡を特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグは、CloudTrail ログファイルを含む Amazon S3 バケットなど、CloudTrail 証跡やその他のリソースを識別するのに役立ちます。例えば、**Compliance** という名前の **Auditing** という値のタグをアタッチできます。
**注記**  
CloudTrail コンソールで証跡を作成するときにタグを追加でき、Amazon S3 バケットを作成して CloudTrail コンソールにログファイルを保存できますが、CloudTrail コンソールから Amazon S3 バケットにタグを追加することはできません。バケットへのタグの追加など、Amazon S3 バケットのプロパティの表示と変更の詳細については、「[https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)」を参照してください。

   タグの作成が完了したら、[**Next**] をクリックします。

1. [**Choose log events**] ページで、ログに記録するイベントタイプを選択します。この証跡では、[**管理イベント**] はそのままにしておきます。[**管理イベント**] 領域で、[**読み取り**] および [**書き込み**] イベントの両方をログに記録することをまだ選択していない場合は、選択します。**Exclude AWS KMS events** と **Exclude Amazon RDS Data API events** のチェックボックスを空のままにして、すべての管理イベントをログに記録します。  
![\[[証跡の作成] ページ、[イベントタイプ] の設定\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)

1. **[データイベント]**、**[Insights イベント]**、**[ネットワークアクティビティイベント]** 設定はデフォルトのままにしておきます。この証跡は、データイベント、Insights イベント、ネットワークアクティビティイベントを記録しません。[**次へ**] を選択します。

1. [**確認と作成**] ページで、詳細用に選択した設定を確認します。戻って変更するには、セクションの [**Edit**] を選クリックします。証跡を作成する準備ができたら、[**Create trail**] を選択します。

1. [**証跡**] ページには、新しい証跡がテーブルに表示されます。トレイルは**マルチリージョン証跡**に設定され、ログ記録はデフォルトで有効になっています。  
![\[[証跡の作成] ページ、[イベントタイプ] の設定\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)

証跡の詳細については、「[CloudTrail 証跡の使用](cloudtrail-trails.md)」を参照してください。

# ログファイルの表示
<a name="tutorial-trail-logs"></a>

最初の証跡を作成してから平均で約 5 分以内に、CloudTrail は最初のログファイルのセットを証跡の Amazon S3 バケットに配信します。これらのファイルを確認して、含まれる情報についての情報取得などを行えます。

**注記**  
CloudTrail は、通常、API コールから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「[AWS CloudTrail サービスレベルアグリーメント](https://aws.amazon.com/cloudtrail/sla)」をご覧ください。  
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。

**ログファイルの表示**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

1. ナビゲーションペインで、**[Trails]** (追跡) を選択します。**[証跡]** ページで、先ほど作成した証跡の名前を探します (例では、*management-events*)。

1. 証跡の行で、S3 バケットの値を選択します。

1. Amazon S3 コンソールが開き、バケット `CloudTrail-Digest` と `CloudTrail` の 2 つのフォルダが表示されます。**[CloudTrail]** フォルダを選択してログファイルを表示します。

1. マルチリージョン証跡を作成した場合は、それぞれにフォルダがあります AWS リージョン。ログファイルを確認する AWS リージョン のフォルダを選択します。例えば、米国東部 (オハイオ) リージョンのログファイルを確認する場合は、[**us-east-2**] を選択します。  
![\[AWS リージョンのログファイルの構造を表示する、証跡の Amazon S3 バケット\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)

1. バケットフォルダ構造を、そのリージョンのアクティビティのログを確認する年、月、日に移動します その日には、多数のファイルがあります。ファイルの名前は AWS アカウント ID で始まり、拡張子 で終わります`.gz`。例えば、アカウント ID が *123456789012* の場合、ファイル名は *123456789012*\$1CloudTrail\$1*us-east-2*\$1*20240512T0000Z\$1EXAMPLE*.json.gz のようになります。

   これらのファイルを表示するには、ダウンロードして、解凍し、プレーンテキストエディタか JSON ビューアーで表示します。ブラウザによっては、.gz および JSON ファイルを直接表示することもできます。CloudTrail ログファイルの情報の解析が容易になるため、JSON ビューアーを使用することをお勧めします。

# S3 データイベント用にイベントデータストアを作成する
<a name="tutorial-lake-S3"></a>

イベントデータストアを作成して、CloudTrail イベント (管理イベント、データイベント)、[CloudTrail Insights イベント](query-event-data-store-insights.md)、[AWS Audit Manager の証拠](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)、[AWS Config の構成項目](query-event-data-store-config.md)、または [AWS 以外のイベント](event-data-store-integration-events.md)をログ記録できます。

データイベントのイベントデータストアを作成するときは、データイベントをログに記録する AWS のサービス および リソースタイプを選択します。データイベントをログ AWS のサービス に記録する方法については、「」を参照してください[データイベント](logging-data-events-with-cloudtrail.md#logging-data-events)。

このチュートリアルでは、Amazon S3 データイベントのイベントデータストアを作成する方法を説明します。このチュートリアルでは、すべての Amazon S3 データイベントをログに記録するのではなく、カスタムログセレクターテンプレートを選択し、特定の S3 バケットからオブジェクトが削除された場合にのみイベントのログを記録します。

**S3 データイベント用にイベントデータストアを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

1.  ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。

1. **[Create event data store]** (イベントデータストアの作成) をクリックします。

1. **[イベントデートストアの設定]** ページの **[全般の詳細]** で、たとえば *s3-data-events-eds* とイベントデートストアに命名します。イベントデートストアの意図をすぐに識別できる名前を使用するのがベストプラクティスです。CloudTrail の命名要件については、[CloudTrail リソース、Amazon S3 バケット、KMS キーの命名要件](cloudtrail-trail-naming-requirements.md) を参照してください。

1. イベントデータストアで使用したい **[料金オプション]** を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」と「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。

   以下のオプションが利用できます。
   + **[1 年間の延長可能な保持料金]** – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これはデフォルトのオプションです。
     + **デフォルトの保持期間:** 366 日間
     + **最長保持期間:** 3,653 日間
   + **[7 年間の保持料金]** – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
     + **デフォルトの保持期間:** 2,557 日間
     + **最長保持期間:** 2,557 日間

1. イベントデータストアの保存期間を日数単位で指定します。保持期間は、**1 年間の延長可能な保持料金**オプションの場合で 7 日から 3,653 日 (約 10 年)、**7 年間の保持料金**オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの `eventTime` が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、`eventTime` が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。

1. (オプション) **[暗号化]** で、独自の KMS キーを使用してイベントデータストアを暗号化するかどうかを選択します。デフォルトでは、イベントデータストア内のすべてのイベントは、 がユーザーに代わって AWS 所有および管理する KMS キーを使用して CloudTrail によって暗号化されます。

   独自の KMS キーを使用して暗号化を有効にするには、**[独自の  AWS KMS key を使用する]** を選択します。**新規** を選択して AWS KMS key を作成するか、**既存** を選択して既存の KMS キーを使用します。**[Enter KMS alias]** (KMS エイリアスを入力) で、`alias/`*MyAliasName* のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して CloudTrail ログの暗号化と復号を許可する必要があります。詳細については、「[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。

   独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
**注記**  
組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。

1. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、**[Lake クエリフェデレーション]** で **[有効]** を選択します。フェデレーションを使用すると、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「[イベントデータストアのフェデレーション](query-federation.md)」を参照してください。

   Lake クエリフェデレーションを有効にするするには、**[有効]** を選択した後に、以下の操作を実行します。

   1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが[必要最小限のアクセス許可](query-federation.md#query-federation-permissions-role)を提供していることを確認してください。

   1. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

   1. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

1. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、**[リソースポリシーを有効化]** を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。

   リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否される[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)と、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。

   イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   [組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。

1. (オプション) **[タグ]** で、1 つまたは複数のカスタムタグ (キーと値のペア) をデータセットに追加します。タグは CloudTrail イベントデータストアを識別するのに役立ちます。例えば、**stage** という名前の **prod** という値のタグをアタッチできます。タグを使用して、イベントデータストアへのアクセスを制限できます。タグを使用して、イベントデータストアのクエリコストと取り込みコストを追跡することもできます。

   タグを使用してコストを追跡する方法については、「[CloudTrail Lake イベントデータストア用のユーザー定義コスト配分タグの作成](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags)」を参照してください。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「[例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)」を参照してください。でタグを使用する方法については AWS、[「 AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*ユーザーガイド」の「 AWS リソースのタグ付け*」を参照してください。

1.  **[次へ]** を選択して、イベントデータストアを設定します。

1.  **[イベントの選択]**ページで、**[イベントタイプ]** はデフォルトの選択のままにします。  
![\[イベントデートストアのイベントタイプを選択します。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/lake-event-type.png)

1. **[CloudTrail イベント]**で、**[データイベント]** を選択し、**[管理イベント]** を選択解除します。データイベントの詳細については、「[データイベントをログ記録する](logging-data-events-with-cloudtrail.md)」を参照してください。  
![\[イベントデータストアの CloudTrail データイベントを選択する\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)

1. **[証跡イベントのコピー]** は、デフォルト設定のままにします。このオプションを使用して、既存の証跡イベントをイベントデータストアにコピーします。詳細については、「[イベントデータストアへ証跡イベントをコピーします](cloudtrail-copy-trail-to-lake-eds.md)」を参照してください。

1. 組織のイベントデートストアの場合は、**[組織内の全アカウントで有効にする]** を選択します。このオプションは、 AWS Organizations でアカウントを設定していない場合は変更できません。

1.  **[追加設定]** は、デフォルトの選択のままにします。デフォルトでは、イベントデータストアはすべての のイベントを収集 AWS リージョン し、作成時にイベントの取り込みを開始します。

1. **[データイベント]**で、次のように項目を選びます。

   1. **[リソースタイプ]** で、**[S3]** を選択します。リソースタイプは、データイベントがログに記録される AWS のサービス および リソースを識別します。

   1. **[ログセレクターテンプレート]**、で **[カスタム]** を選択します。**[カスタム]** を選択すると、`eventName`、`resources.ARN`、`readOnly` フィールドのフィルタリングを行うカスタムイベントセレクターを定義できます。これらのフィールドの詳細については、「*AWS CloudTrail  API リファレンス*」の「[AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)」を参照してください。

   1. (オプション) **[セレクタ名]** に、セレクタを識別する名前を入力します。セレクター名は、「特定の S3 バケットについて DeleteObject API 呼び出しをログに記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「`Name`」と表示され、**[JSON ビュー]** を展開すると表示されます。  
![\[展開された [JSON ビュー] で高度なイベントセレクターが表示された状態\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/json-view-selector-name.png)

   1. **[高度なイベントセレクター]** で、`eventName`、`resources.ARN` フィールドにフィルタリングを行うカスタムイベントセレクタを構成します。イベントデータストアの高度なイベントセレクタは、証跡に適用する高度なイベントセレクタと同じように機能します。高度なイベントセレクタを作成する方法の詳細については、「[高度なイベントセレクタを使用してデータイベントを記録する](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced)」を参照してください。

      1. **[フィールド]** に、**[eventName]** を選択します。**[オペレーター]**に、**[equals]** を選択します。**[Value]** (値) に「**DeleteObject**」と入力します。**[フィールド追加]** を選択し、他のフィールドにフィルタリングを行います。

      1. **[フィールド]**に、**[resources.ARN]** を選択します。**[フィールド]** に、**[StartsWith]** を選択します。**[値]** には、バケットの ARN を入力します (例: arn:aws:s3:::*amzn-s3-demo-bucket*)。ARN の取得方法については、「*Amazon シンプルストレージサービスユーザーガイド*」で「[Amazon S3 リソース](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html)」を参照してください。  
![\[S3 データイベント設定\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/eds-data-events.png)

1. **[Next]** (次へ) を選択して、選択内容を確認します。

1. **[Review and create]** (確認と作成) ページで、選択内容を確認します。セクションを変更するには、**[Edit]** (編集) をクリックします。イベントデータストアを作成する準備が整ったら、**[Create event data store]** (イベントデータストアの作成) をクリックします。

1. 新しいイベントデータストアが、**[イベントデータストア]** ページの **[イベントデータストア]** テーブルに表示されます。

   イベントデータストアは、この時点以降の高度なイベントセレクタに一致するイベントを取得します。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントをコピーすることを選択しない限り、イベントデータストアには保存されません。

イベントデータストアに対してクエリを実行できるようになりました。サンプルクエリを表示および実行する方法については、[CloudTrail コンソールにサンプルクエリを表示する](lake-console-queries.md) を参照してください。

CloudTrail Lake の詳細については、「[AWS CloudTrail Lake の使用](cloudtrail-lake.md)」を参照してください。