翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# コンソール AWS を使用して の外部でイベントのイベントデータストアを作成する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
外部のイベントを含めるイベントデータストアを作成し AWS、CloudTrail Lake を使用してアプリケーションからログに記録されるデータを検索、クエリ、分析できます。
CloudTrail Lake *統合*を使用して、オンプレミスまたはクラウド、仮想マシン AWS、コンテナでホストされている社内アプリケーションや SaaS アプリケーションなど、ハイブリッド環境の任意のソースから、 の外部からユーザーアクティビティデータをログに記録して保存できます。
統合用としてイベントデータストアを作成する際は、同時にチャネルも作成し、そのチャネルにリソースポリシーをアタッチします。
CloudTrail Lake のイベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する[料金オプション](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail 料金の詳細については、 ユーザーガイドの「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」および「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
## の外部でイベントのイベントデータストアを作成するには AWS
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. **[Create event data store]** (イベントデータストアの作成) をクリックします。
1. **[Configure event data store]** (イベントデータストアの設定) ページの **[General details]** (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。
1. イベントデータストアで使用したい **[料金オプション]** を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」と「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
以下のオプションが利用できます。
+ **[1 年間の延長可能な保持料金]** – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これはデフォルトのオプションです。
+ **デフォルトの保持期間:** 366 日間
+ **最長保持期間:** 3,653 日間
+ **[7 年間の保持料金]** – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
+ **デフォルトの保持期間:** 2,557 日間
+ **最長保持期間:** 2,557 日間
1. イベントデータストアの保存期間を日数単位で指定します。保持期間は、**1 年間の延長可能な保持料金**オプションの場合で 7 日から 3,653 日 (約 10 年)、**7 年間の保持料金**オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。
CloudTrail Lake は、イベントの `eventTime` が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、`eventTime` が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。
1. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、**「独自の を使用する AWS KMS key**」を選択します。**新規** を選択して AWS KMS key を作成するか、**既存** を選択して既存の KMS キーを使用します。**[Enter KMS alias]** (KMS エイリアスを入力) で、`alias/`{{MyAliasName}} のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。
独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
**注記**
組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。
1. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、**[Lake クエリフェデレーション]** で **[有効]** を選択します。フェデレーションを使用すると、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「[イベントデータストアのフェデレーション](query-federation.md)」を参照してください。
Lake クエリフェデレーションを有効にするするには、**[有効]** を選択した後に、以下の操作を実行します。
1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが[必要最小限のアクセス許可](query-federation.md#query-federation-permissions-role)を提供していることを確認してください。
1. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。
1. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
1. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、**[リソースポリシーを有効化]** を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。
リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否される[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)と、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。
1. (オプション) **[Tag]** (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「[例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)」を参照してください。でタグを使用する方法の詳細については AWS、[「 AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*ユーザーガイド」の AWS 「リソースのタグ付け*」を参照してください。
1. **[次へ]** を選択して、イベントデータストアを設定します。
1. **[Choose events]** (イベントの選択) ページで、**[Events from integrations]** (統合からのイベント) を選択します。
1. **[Events from integration]** (統合からのイベント) から、イベントデータストアにイベントを配信するソースを選択します。
1. 統合のチャネルを識別するための名前を指定します。名前には 3~128 の文字数が使用できます。使用できるのは文字、数字、ピリオド、アンダースコア、ダッシュのみです。
1. **[Resource policy]** (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。リソースポリシーとは、JSON によるポリシードキュメントです。このドキュメントでは、指定したプリンシパルが対象のリソースにおいて実行できるアクションの種類と、その際の条件を指定します。リソースポリシーでプリンシパルとして定義されているアカウントは、`PutAuditEvents` API を呼び出してイベントをチャネルに配信することができます。IAM ポリシーで `cloudtrail-data:PutAuditEvents` アクションが許可されている場合、リソース所有者はリソースに暗黙的にアクセスできます。
ポリシーに必要な情報は、統合タイプによって決まります。方向統合の場合、CloudTrail はパートナーの AWS アカウント IDs を自動的に追加し、パートナーから提供された一意の外部 ID を入力する必要があります。ソリューション統合では、少なくとも 1 つの AWS アカウント ID をプリンシパルとして指定する必要があり、必要に応じて外部 ID を入力して混乱した代理を防ぐことができます。
**注記**
チャネルのリソースポリシーを作成しない場合は、そのチャネルの所有者だけが、チャネル内で `PutAuditEvents` API を呼び出すことができます。
1. 直接統合の場合には、パートナーから提供された外部 ID を入力します。統合パートナーは、一意の外部 ID (アカウント ID やランダムに生成された文字列など) を統合のために提供し、混乱した代理問題を防ぎます。パートナーが一意の外部 ID の作成と提供を責任もって行います。
**[How to find this?]** (これを見つけるには?) を選択すると、外部 ID を検索する方法が記載された、パートナー提供のドキュメントを表示できます。
**注記**
リソースポリシーに外部 ID が含まれているのであれば、`PutAuditEvents` API に対するすべての呼び出しに、この外部 ID を含める必要があります。ただし、ポリシーで外部 ID が定義されていない場合でも、パートナーは、`PutAuditEvents` API を呼び出して `externalId` パラメータを指定することができます。
1. ソリューション統合の場合は、**アカウントの追加 AWS ** を選択して、ポリシーでプリンシパルとして追加する各 AWS アカウント ID を指定します。
1. **[Next]** (次へ) を選択して、選択内容を確認します。
1. **[Review and create]** (確認と作成) ページで、選択内容を確認します。セクションを変更するには、**[Edit]** (編集) をクリックします。イベントデータストアを作成する準備が整ったら、**[Create event data store]** (イベントデータストアの作成) をクリックします。
1. 新しいイベントデータストアが、**[イベントデータストア]** ページの **[イベントデータストア]** テーブルに表示されます。
1. パートナーアプリケーションに対し、チャネルの Amazon リソースネーム (ARN) を指定します。チャネル ARN をパートナーアプリケーションに対し指定するための手順は、パートナードキュメントのウェブサイトで確認できます。詳細を参照するには、**[Integrations]** (統合) ページの **[Available sources]** (利用可能なソース) タブで、パートナーの **[Learn more]** (詳細はこちら) リンクを選択し AWS Marketplace内のパートナーページを開きます。
お客様、パートナー、またはパートナーアプリケーションがチャネルの `PutAuditEvents` API を呼び出すと、イベントデータストアは、CloudTrail に対し統合のチャネルを経由して、パートナーイベントの取り込みを開始します。