翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンソールを使用してカスタム統合を作成する
CloudTrail を使用すると、オンプレミスやクラウドでホストされている社内アプリケーションや SaaS アプリケーション、仮想マシン、コンテナなど、ハイブリッド環境にある任意のソースから、ユーザーアクティビティデータのログを作成して保存できます。CloudTrail Lake コンソールでこの手順の前半を実行してから、PutAuditEvents API を呼び出してイベントを取り込み、チャネル ARN とイベントペイロードを提供します。PutAuditEvents API を使用してアプリケーションアクティビティを CloudTrail に取り込んだ後は、CloudTrail Lake を使用してアプリケーションがログ記録したデータを検索、クエリ、分析できます。
-
AWS Management Console にサインインし、https://console.aws.amazon.com/cloudtrail/
で CloudTrail コンソールを開きます。 -
ナビゲーションペインの [Lake] で、[統合] を選択します。
-
[Add integration] (統合を追加) ページで、チャネルの名前を入力します。名前には 3~128 の文字数が使用できます。使用できるのは文字、数字、ピリオド、アンダースコア、ダッシュのみです。
-
[My custom integration] (カスタム統合) を選択します。
-
[Event delivery location] (イベントの配信場所) で、既存のイベントデータストアで以前と同じアクティビティイベントのログ記録を行うか、新しいイベントデータストアを作成するかを選択します。
イベントデータストアを新規で作成する場合には、そのデータストアの名前を入力すると同時に、保持期間を日単位で指定します。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。
アクティビティイベントを、既存の (1 つ以上の) イベントデータストアにログ記録する場合は、対象となるイベントデータストアをリストから選択します。イベントデータストアに保存できるのは、アクティビティイベントのみです。コンソール内のイベントタイプは、[Events from integrations] (統合からのイベント) にする必要があります。API 内での
eventCategory値はActivityAuditLogにする必要があります。 -
[Resource policy] (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。リソースポリシーとは、JSON によるポリシードキュメントです。このドキュメントでは、指定したプリンシパルが対象のリソースにおいて実行できるアクションの種類と、その際の条件を指定します。リソースポリシーでプリンシパルとして定義されているアカウントは、
PutAuditEventsAPI を呼び出してイベントをチャネルに配信することができます。注記
チャネルのリソースポリシーを作成しない場合は、そのチャネルの所有者だけが、チャネル内で
PutAuditEventsAPI を呼び出すことができます。-
(オプション) さらに保護を強化するために、一意の外部 ID を入力します。混乱した代理問題を避けるため、外部 ID には、アカウント ID またはランダムに生成された値などによる、固有の文字列を使用します。
注記
リソースポリシーに外部 ID が含まれているのであれば、
PutAuditEventsAPI に対するすべての呼び出しに、この外部 ID を含める必要があります。ただし、ポリシーで外部 ID が定義されていない場合でも、PutAuditEventsAPI を呼び出してexternalIdパラメータを指定することが可能です。 -
[AWS アカウントの追加] を選択して、チャネルのリソースポリシーにプリンシパルとして追加する、各 AWS アカウントの ID を指定します。
-
-
(オプション) [Tag] (タグ) エリアでは、イベントデータストアおよびチャネルへのアクセスを特定、ソート、および制御できるようにするタグのキーと値のペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。AWS でタグを使用する方法の詳細については、「AWS 全般のリファレンス」にある「Tagging your AWS resources」を参照してください。
-
新しい統合を作成する準備ができたら、[Add integration] (統合を追加) を選択します。確認のためのページは表示されません。統合は CloudTrail によって作成されます。ただし、カスタムイベントを統合するには、
PutAuditEventsリクエストでチャネル ARN を指定する必要があります。 -
PutAuditEventsAPI を呼び出して、アクティビティイベントを CloudTrail に取り込みます。PutAuditEventsリクエストごとに最大 100 のアクティビティイベント (または最大 1 MB) を追加することが可能です。前述の手順で作成したチャネル ARN、CloudTrail に追加させるイベントのペイロード、および外部 ID (リソースポリシーで指定されている場合) が必要となります。CloudTrail に取り込む前の段階では、イベントペイロードに機密情報や個人を特定できる情報が含まれることはない点に注意してください。CloudTrail に取り込むイベントは、CloudTrail Lake 統合のイベントスキーマ に従う必要があります。ヒント
AWS CloudShell を使用して、最新の AWS API を実行していることを確認します。
次に、put-audit-events CLI コマンドの使用例を示します。--audit-events および --channel-arn パラメータが必要です。前述の手順で作成したチャネルの ARN が必要です。これは、統合の詳細ページからコピーできます。--audit-events の値は、イベントオブジェクトで構成された JSON 形式の配列です。
--audit-eventsには、イベントからの必須 ID、EventDataの値として必要なイベントのペイロード、CloudTrail に取り込んだ後のイベントの整合性を検証するのに役立つオプションのチェックサムが含まれます。aws cloudtrail-data put-audit-events \ --regionregion\ --channel-arn $ChannelArn \ --audit-events \ id="event_ID",eventData='"{event_payload}"' \ id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"次に、2 つのイベントを処理するコマンドの例を示します。
aws cloudtrail-data put-audit-events \ --region us-east-1 \ --channel-arn arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \ --audit-events \ id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ... \}"' \ id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ... \}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"次のコマンドの例では、イベントペイロードの JSON ファイル (
custom-events.json) を指定するための--cli-input-jsonパラメーターを追加しています。aws cloudtrail-data put-audit-events \ --channel-arn $channelArn \ --cli-input-json file://custom-events.json \ --region us-east-1次は、JSON ファイル (
custom-events.json) の内容の例です。{ "auditEvents": [ { "eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\", \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\", \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\", \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\", \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"}, \"additionalEventData\":{\"key\":\"value\"}, \"sourceIPAddress\":\"source_IP_address\",\"recipientAccountId\":\"recipient_account_ID\"}", "id": "1" } ] }
(オプション) チェックサム値を計算する
PutAuditEvents リクエストで EventDataChecksum 値として指定したチェックサムは、その値と一致するイベントを CloudTrail が受信したことを確認でき、イベントの整合性を検証するのに役立ちます。チェックサム値は、次のコマンドを実行することで、Base64-SHA256 アルゴリズムによって計算されます。
printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\", \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\", \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\", \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\", \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"}, \"additionalEventData\":{\"key\":\"value\"}, \"sourceIPAddress\":\"source_IP_address\", \"recipientAccountId\":\"recipient_account_ID\"}", "id": "1"}" \ | openssl dgst -binary -sha256 | base64
このコマンドは、 チェックサムを返します。次に例を示します。
EXAMPLEHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=
このチェックサム値が、PutAuditEvents リクエストの EventDataChecksum 値になります。このチェックサムと受け取ったイベントのチェックサム値とが一致しない場合、CloudTrail は InvalidChecksum エラーによりそのイベントを拒否します。
