コンソールとのカスタム統合を作成する

にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/。

ナビゲーションペインの [Lake] で、[統合] を選択します。

[Add integration] (統合を追加) ページで、チャネルの名前を入力します。名前には 3～128 の文字数が使用できます。使用できるのは文字、数字、ピリオド、アンダースコア、ダッシュのみです。

[My custom integration] (カスタム統合) を選択します。

[Event delivery location] (イベントの配信場所) で、既存のイベントデータストアで以前と同じアクティビティイベントのログ記録を行うか、新しいイベントデータストアを作成するかを選択します。

イベントデータストアを新規で作成する場合には、そのデータストアの名前を入力すると同時に、保持期間を日単位で指定します。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。

アクティビティイベントを、既存の (1 つ以上の) イベントデータストアにログ記録する場合は、対象となるイベントデータストアをリストから選択します。イベントデータストアに保存できるのは、アクティビティイベントのみです。コンソール内のイベントタイプは、[Events from integrations] (統合からのイベント) にする必要があります。ではAPI、eventCategory値は である必要がありますActivityAuditLog。

[Resource policy] (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。リソースポリシーは、指定されたプリンシパルがリソースに対して実行できるアクションと条件を指定するJSONポリシードキュメントです。リソースポリシーでプリンシパルとして定義されたアカウントは、 を呼び出しPutAuditEventsAPIて、 チャネルにイベントを配信できます。

1. (オプション) さらに保護を強化するために、一意の外部 ID を入力します。混乱した代理問題を避けるため、外部 ID には、アカウント ID またはランダムに生成された値などによる、固有の文字列を使用します。

   注記

   リソースポリシーに外部 ID が含まれている場合、 へのすべての呼び出しに外部 ID が含まれているPutAuditEventsAPI必要があります。ただし、ポリシーで外部 ID が定義されていない場合でも、 を呼び出しPutAuditEventsAPIて externalIdパラメータを指定できます。

2. アカウントの追加 AWS を選択して、チャネルのリソースポリシーでプリンシパルとして追加する各 AWS アカウント ID を指定します。

(オプション) [Tag] (タグ) エリアでは、イベントデータストアおよびチャネルへのアクセスを特定、ソート、および制御できるようにするタグのキーと値のペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については AWS、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。

新しい統合を作成する準備ができたら、[Add integration] (統合を追加) を選択します。レビューページはありません。 は統合 CloudTrail を作成しますが、カスタムイベントを統合するには、PutAuditEventsリクエストARNでチャネルを指定する必要があります。

を呼び出しPutAuditEventsAPIて、アクティビティイベントを に取り込みます CloudTrail。PutAuditEvents リクエストごとに最大 100 のアクティビティイベント (または最大 1 MB) を追加することが可能です。前のステップでARN作成したチャンネル、追加するイベントのペイロード、および外部 ID (リソースポリシー CloudTrail に指定されている場合) が必要です。に取り込む前に、イベントペイロードに機密情報や個人を特定できる情報がないことを確認してください CloudTrail。取り込むイベント CloudTrail は、 に従う必要がありますCloudTrail Lake 統合イベントスキーマ。

次の例は、 put-audit-events CLI コマンドの使用方法を示しています。--audit-events および --channel-arn パラメータが必要です。前のステップで作成したチャンネルARNの が必要です。これは統合の詳細ページからコピーできます。の値は、イベントオブジェクトのJSON配列--audit-eventsです。 --audit-eventsには、イベントから必要な ID、 の値としてイベントの必要なペイロードEventData、および への取り込み後にイベントの整合性を検証するのに役立つオプションのチェックサムが含まれます CloudTrail。

aws cloudtrail-data put-audit-events \
--region region \
--channel-arn $ChannelArn \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"

次に、2 つのイベントを処理するコマンドの例を示します。

aws cloudtrail-data put-audit-events \
--region us-east-1 \
--channel-arn arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"

次のコマンド例では、 --cli-input-jsonパラメータを追加して、イベントペイロードのJSONファイル (custom-events.json) を指定します。

aws cloudtrail-data put-audit-events \
--channel-arn $channelArn \
--cli-input-json file://custom-events.json \
--region us-east-1

以下は、サンプルJSONファイル のサンプルコンテンツですcustom-events.json。

{
    "auditEvents": [
      {
        "eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"source_IP_address\",\"recipientAccountId\":\"recipient_account_ID\"}",
        "id": "1"
      }
   ]
}