コンソールを使用してイベントのイベントデータストア CloudTrailを作成する

にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/。

ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

[Create event data store] (イベントデータストアの作成) をクリックします。

[Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail 料金表」と「CloudTrail Lake のコスト管理」を参照してください。

以下のオプションが利用できます。

イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

CloudTrail Lake は、イベントの が指定された保持期間内であるかどうかを確認することでeventTime、イベントを保持するかどうかを決定します。例えば、保持期間を 90 日に指定すると、 CloudTrail eventTimeは 90 日を経過するとイベントを削除します。

（オプション) を使用して暗号化を有効にするには AWS Key Management Service、「自分のものを使用 AWS KMS key」を選択します。新規 を選択して AWS KMS key を作成するか、既存 を選択して既存のKMSキーを使用します。Enter KMS alias で、 形式でエイリアスを指定しますalias/MyAliasName。独自のKMSキーを使用するには、イベントデータストアを暗号化および復号できるようにKMSキーポリシーを編集する必要があります。詳細については、「」を参照してくださいCloudTrail の AWS KMS キーポリシーを設定する。 は AWS KMS マルチリージョンキー CloudTrail もサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

独自のKMSキーを使用すると、暗号化と復号化の AWS KMS コストが発生します。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。

(オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション] で [有効] を選択します。フェデレーションを使用すると、データカタログの AWS Glue イベントデータストアに関連付けられたメタデータを表示し、Athena のイベントデータに対してSQLクエリを実行できます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

1. 新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation はこのロールを使用して、フェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

（オプション) リソースポリシーを有効にする を選択して、リソースベースのポリシーをイベントデータストアに追加します。リソースベースのポリシーを使用すると、イベントデータストアでアクションを実行できるプリンシパルを制御できます。例えば、他のアカウントのルートユーザーがこのイベントデータストアにクエリを実行し、クエリ結果を表示できるようにするリソースベースのポリシーを追加できます。エンドポイントポリシーの例については、イベントデータストアのリソースベースのポリシーの例を参照してください。

リソースベースのポリシーには、1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否するプリンシパルと、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。

イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。

組織のイベントデータストアの場合、 は、委任管理者アカウントが組織のイベントデータストアで実行できるアクションを一覧表示するデフォルトのリソースベースのポリシー CloudTrail を作成します。このポリシーのアクセス許可は、 の委任管理者アクセス許可から取得されます AWS Organizations。このポリシーは、組織イベントデータストアまたは組織への変更 ( CloudTrail 委任管理者アカウントの登録または削除など) 後に自動的に更新されます。

(オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については AWS、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。

[次へ] を選択して、イベントデータストアを設定します。

「イベントの選択」ページでAWS 「イベント」を選択し、CloudTrail「イベント」を選択します。

CloudTrail イベントの場合は、少なくとも 1 つのイベントタイプを選択します。[Management events] (管理イベント) がデフォルトで選択されています。管理イベント、データイベント、およびネットワークアクティビティイベントをイベントデータストアに追加できます。

(オプション) 既存のトレイルからイベントをコピーして過去のイベントに関するクエリを実行する場合は、[Copy trail events] (トレイルイベントのコピー) を選択します。証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。委任された管理者アカウントは、証跡イベントを組織のイベントデータストアにコピーできません。証跡イベントのコピーに関する考慮事項の詳細については、「証跡イベントのコピーに関する留意事項」を参照してください。

イベントデータストアが AWS Organizations 内のすべてのアカウントからのイベントを収集するようにするには、[Enable for all accounts in my organization] (組織内のすべてのアカウントについて有効化) を選択します。組織に関するイベントを収集するイベントデータストアを作成するには、その組織の管理アカウントまたは委任された管理者アカウントにサインインする必要があります。

追加設定を展開して、イベントデータストアですべてのイベントを収集するか AWS リージョン、現在のイベントのみを収集するかを選択し AWS リージョン、イベントデータストアでイベントを取り込むかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。

1. 現在のリージョンでログ記録されたイベントのみを含めるときは、[イベントデータストアに現在のリージョンのみを含める] を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。

2. イベントデータストアでイベントの取り込みを開始したくないときは、[イベントを取り込む] の選択を解除します。例えば、証跡イベントをコピーしており、イベントデータストアに未来のイベントを含めたくないときは、[イベントを取り込む] の選択を解除するとよいでしょう。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。

イベントデータストアに管理イベントが含まれている場合は、次のオプションを選択できます。管理イベントの詳細については、「管理イベントのログ記録」を参照してください。

1. シンプルなイベントコレクションまたは高度なイベントコレクションから選択します。

   • すべてのイベントをログに記録する場合、読み取りイベントのみをログに記録する場合、または書き込みイベントのみをログに記録する場合は、シンプルイベントコレクションを選択します。 AWS Key Management Service および Amazon RDS Data APIイベントを除外することもできます。

   • eventName、、、、sessionCredentialFromConsoleおよび フィールドを含む高度なイベントセレクタフィールドの値に基づいて管理イベントを含めるか除外する場合は、アドバンストイベントコレクションを選択します。 eventType eventSource userIdentity.arn

2. シンプルイベントコレクションを選択した場合は、すべてのイベントをログに記録するか、読み込みイベントのみをログに記録するか、書き込みイベントのみをログに記録するかを選択します。 AWS KMS および Amazon RDS Data APIイベントを除外することもできます。

3. アドバンストイベントコレクションを選択した場合は、次の選択を行います。

   1. ログセレクタテンプレートで、テンプレートを選択するか、カスタムを選択して、高度なイベントセレクタフィールド値に基づいてカスタム設定を構築します。

   2. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、 AWS Management Console 「セッションから管理イベントをログに記録する」など、高度なイベントセレクタのわかりやすい名前です。セレクタ名はアドバンストイベントセレクタNameに としてリストされ、JSONビューを展開すると表示できます。

   3. カスタムを選択した場合、アドバンストイベントセレクタでは、アドバンストイベントセレクタフィールド値に基づいて式を構築します。

      注記

      セレクタは、 * のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件に一致NotEndsWithさせるには、StartsWith、NotStartsWith、、または EndsWithを使用して、イベントフィールドの開始または終了を明示的に一致させることができます。

      1. 次のフィールドから選択します。

         • readOnly – readOnly は、 trueまたは の値に等しくなるように設定できますfalse。に設定するとfalse、イベントデータストアは書き込み専用管理イベントを記録します。読み取り専用管理イベントは、 Get*や イベントなど、リソースの状態を変更しないDescribe*イベントです。書き込みイベントは、Put*、Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。読み取りイベントと書き込みイベントの両方をログに記録するには、readOnlyセレクタを追加しないでください。

         • eventName – eventName は任意の演算子を使用できます。これを使用して、 や などの管理イベントを含めたり除外CreateAccessPointしたりできますGetAccessPoint。

         • userIdentity.arn – 特定の ID IAM によって実行されたアクションのイベントを含めるか除外します。詳細については、「 CloudTrail userIdentity 要素」を参照してください。

         • sessionCredentialFromConsole – AWS Management Console セッションから発生するイベントを含めるか除外します。このフィールドは、 の値で等しいか等しくないかを設定できますtrue。

         • eventSource - 特定のイベントソースを含めるか除外するために使用できます。は通常、スペースと を含まないサービス名の短い形式eventSourceです.amazonaws.com。例えば、Amazon EC2管理イベントのみをログに記録するec2.amazonaws.comように eventSourceを に等しく設定できます。

         • eventType – 含める、または除外eventTypeする 。例えば、このフィールドを等しくないに設定AwsServiceEventしてAWS のサービス イベントを除外できます。

      2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

         が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいCloudTrail がフィールドの複数の条件を評価する方法。

         注記

         イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

   4. 必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。

4. インサイトイベントキャプチャを有効にする を選択して、インサイトを有効にします。Insights を有効にするには、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集する送信先イベントデータストアを設定する必要があります。

   Insights を有効にすることを選択した場合は、次の手順を実行します。

   1. Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。

   2. Insights タイプを選択します。API 通話率、APIエラー率、またはその両方を選択できます。API 通話レートの Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラー率の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。

イベントデータストアにデータイベントを含めるには、次の手順を実行します。

1. リソースタイプを選択します。これは、データイベントがログに記録される AWS のサービス および リソースです。

2. [Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのデータイベント、readOnly イベント、もしくは writeOnly イベントをログに記録することを選択、または [Custom] (カスタム) を選択してカスタムログセレクタを構築することができます。

3. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名はアドバンストイベントセレクタNameに としてリストされ、JSONビューを展開すると表示できます。

4. Custom を選択した場合、高度なイベントセレクタは、高度なイベントセレクタフィールドの値に基づいて式を構築します。

   注記

   セレクタは、 * のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件に一致NotEndsWithさせるには、StartsWith、NotStartsWith、、または EndsWithを使用して、イベントフィールドの開始または終了を明示的に一致させることができます。

   1. 次のフィールドから選択します。

      • readOnly – readOnly は、true または false の値と [等しい] になるように設定できます。読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*、Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

      • eventName - eventName は任意の演算子を使用できます。これを使用して、、 CloudTrail、 などPutBucket、 に記録されたデータイベントを含めるGetItemか除外できますGetSnapshotBlock。

      • eventSource – 含める、または除外するイベントソース。このフィールドは任意の演算子を使用できます。

      • eventType – 含める、または除外するイベントタイプ。例えば、このフィールドを等しくないに設定AwsServiceEventして を除外できますAWS のサービス のイベント。イベントタイプのリストについては、「」のeventType「」を参照してくださいCloudTrail レコードの内容。

      • sessionCredentialFromコンソール – AWS Management Console セッションから発生するイベントを含めるか除外します。このフィールドは、 の値で等しいか等しくないかを設定できますtrue。

      • userIdentity.arn – 特定の ID IAM によって実行されたアクションのイベントを含めるか除外します。詳細については、「 CloudTrail userIdentity 要素」を参照してください。

      • resources.ARN - 任意の演算子を で使用できますがresources.ARN、等号または不等号を使用する場合、値はテンプレートで の値として指定したタイプのARN有効なリソースの と完全に一致する必要がありますresources.type。詳細については、「resources.ARN でデータイベントをフィルタリングする」を参照してください。

        注記

        resources.ARN フィールドを使用して、 を持たないリソースタイプをフィルタリングすることはできませんARNs。

      データイベントリソースのARN形式の詳細については、「 AWS Identity and Access Management ユーザーガイド」の「アクション、リソース、および条件キー」を参照してください。

   2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、2 つの S3 バケットのデータイベントをイベントデータストアに記録されたデータイベントから除外するには、 フィールドを リソースに設定します。ARN の 演算子は で開始されず、イベントをログに記録したくない S3 バケットに貼り付けARNます。

      2 番目の S3 バケットを追加するには、+ 条件を選択し、前の手順を繰り返して、 ARN の に貼り付けるか、別のバケットを参照します。

      が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいCloudTrail がフィールドの複数の条件を評価する方法。

      注記

      イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

   3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタARNで を値と等しく指定しないでください。次に、 を別のセレクタで同じ値と等しくARNないように指定します。

5. 必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。

6. データイベントをログに記録する別のリソースタイプを追加するには、データイベントタイプを追加を選択します。ステップ a からこのステップを繰り返して、リソースタイプの高度なイベントセレクタを設定します。

イベントデータストアにネットワークアクティビティイベントを含めるには、次の手順を実行します。

1. [ネットワークアクティビティイベントソース] から、ネットワークアクティビティイベントのソースを選択します。

2. [Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、[カスタム] を選択してカスタムログセレクタを構築し、eventName や vpcEndpointId などの複数のフィールドでフィルタリングすることができます。

3. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに名前としてリストされ、JSONビューを展開すると表示できます。

4. [高度なイベントセレクタ] で、[フィールド]、[演算子]、[値] の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

   1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。

      • eventName – eventName では任意の演算子を使用できます。これを使用して、CreateKey などの任意のイベントを含めるか除外することができます。

      • errorCode – エラーコードをフィルタリングするために使用できます。現在サポートされている errorCode は、VpceAccessDenied のみです。

      • vpcEndpointId – オペレーションが通過したVPCエンドポイントを識別します。vpcEndpointId では任意の演算子を使用できます。

   2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

   3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

5. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、[ネットワークアクティビティイベントセレクタの追加] を選択します。

6. 必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。

イベントデータストアに既存の証跡イベントをコピーするには、次を実行します。

1. コピーするトレイルを選択します。デフォルトでは、 は S3 バケットのCloudTrailプレフィックスとプレフィックス内のCloudTrailプレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、S3 を入力URI」を選択し、S3 を参照する」を選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、KMSキーポリシーが CloudTrail にデータの復号を許可していることを確認します。ソース S3 バケットが複数のKMSキーを使用している場合は、 がバケット内のデータを復号 CloudTrail できるように、各キーのポリシーを更新する必要があります。KMS キーポリシーの更新の詳細については、「」を参照してくださいKMS ソース S3 バケット内のデータを復号するための キーポリシー。

2. イベントをコピーする時間範囲を選択します。 はプレフィックスとログファイル名 CloudTrail をチェックして、証跡イベントをコピーする前に、選択した開始日と終了日の間の日付が名前に含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

   注記

   CloudTrail は、イベントデータストアの保持期間eventTime内の を持つ証跡イベントのみをコピーします。例えば、イベントデータストアの保持期間が 90 日の場合、 CloudTrail は 90 日をeventTime経過した証跡イベントをコピーしません。

   • 相対範囲を選択した場合、過去 6 か月、1 年、2 年、7 年、またはカスタム範囲に記録されたイベントをコピーできます。 は、選択した期間内に記録されたイベント CloudTrail をコピーします。

   • 絶対範囲を選択すると、特定の開始日と終了日を選択できます。 は、選択した開始日と終了日の間に発生したイベント CloudTrail をコピーします。

3. アクセス許可 では、次のIAMロールオプションから選択します。既存のIAMロールを選択する場合は、IAMロールポリシーが必要なアクセス許可を付与していることを確認します。IAM ロールのアクセス許可の更新の詳細については、「」を参照してくださいIAM 証跡イベントをコピーするための アクセス許可。

   • 新しいロールを作成するには、新しいロールの作成 (推奨） を選択します。 IAMIAM ロール名の入力 に、ロールの名前を入力します。 は、この新しいロールに必要なアクセス許可 CloudTrail を自動的に作成します。

   • カスタムIAMロールを使用ARNを選択して、リストにないカスタムIAMロールを使用します。Enter role IAM に ARNと入力しますIAMARN。

   • ドロップダウンリストから既存のIAMロールを選択します。

[Next] (次へ) を選択して、選択内容を確認します。

[Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

これ以降、イベントデータストアは、高度なイベントセレクタに一致するイベントをキャプチャします ([イベントを取り込む] オプションを選択したままにしている場合)。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントをコピーすることを選択しない限り、イベントデータストアには保存されません。