コンソールで CloudTrail パートナーとの統合を作成する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールで CloudTrail パートナーとの統合を作成する

外部のイベントソースとの統合を作成する場合 AWS、これらのパートナーのいずれかをイベントソースとして選択できます。でパートナーアプリケーション CloudTrail との統合を作成する場合、パートナーには、 にイベントを送信するためにこのワークフローで作成したチャネルの Amazon リソースネーム (ARN) が必要です CloudTrail。統合を作成したら、パートナーの指示に従って必要なチャネルをパートナーに提供することで、統合の設定を完了ARNします。統合は、パートナーが統合のチャネルPutAuditEventsで を呼び出す CloudTrail と、パートナーイベントの取り込みを開始します。

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[統合] を選択します。

  3. [Add integration] (統合を追加) ページで、チャネルの名前を入力します。名前には 3~128 の文字数が使用できます。使用できるのは文字、数字、ピリオド、アンダースコア、ダッシュのみです。

  4. イベントの取得元である、パートナーアプリケーションソースを選択します。オンプレミスまたはクラウドでホストされている、独自のアプリケーションからのイベントと統合する場合は、[My custom integration] (カスタム統合) を選択します。

  5. [Event delivery location] (イベントの配信場所) で、既存のイベントデータストアで以前と同じアクティビティイベントのログ記録を行うか、新しいイベントデータストアを作成するかを選択します。

    イベントデータストアを新しく作成する場合には、イベントデータストアの名前を入力し、料金オプションを選択し、保持期間を日単位で指定します。イベントデータストアは指定された日数分、イベントデータを保存します。

    アクティビティイベントを、既存の (1 つ以上の) イベントデータストアにログ記録する場合は、対象となるイベントデータストアをリストから選択します。イベントデータストアに保存できるのは、アクティビティイベントのみです。コンソール内のイベントタイプは、[Events from integrations] (統合からのイベント) にする必要があります。ではAPI、eventCategory値は である必要がありますActivityAuditLog

  6. [Resource policy] (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。リソースポリシーは、指定されたプリンシパルがリソースに対して実行できるアクションと条件を指定するJSONポリシードキュメントです。リソースポリシーでプリンシパルとして定義されたアカウントは、 を呼び出しPutAuditEventsAPIて、 チャネルにイベントを配信できます。ポリシーで cloudtrail-data:PutAuditEventsアクションIAMが許可されている場合、リソース所有者はリソースに暗黙的にアクセスできます。

    ポリシーに必要な情報は、統合タイプによって決まります。方向統合の場合、 はパートナーの AWS アカウント CloudTrail を自動的に追加しIDs、パートナーから提供された一意の外部 ID を入力する必要があります。ソリューション統合では、少なくとも 1 つの AWS アカウント ID をプリンシパルとして指定する必要があります。また、必要に応じて外部 ID を入力して、混乱した代理を防ぐことができます。

    注記

    チャンネルのリソースポリシーを作成しない場合、チャンネル所有者のみがチャンネルPutAuditEventsAPIの を呼び出すことができます。

    1. 直接統合の場合には、パートナーから提供された外部 ID を入力します。統合パートナーは、一意の外部 ID (アカウント ID やランダムに生成された文字列など) を統合のために提供し、混乱した代理問題を防ぎます。パートナーが一意の外部 ID の作成と提供を責任もって行います。

      [How to find this?] (これを見つけるには?) を選択すると、外部 ID を検索する方法が記載された、パートナー提供のドキュメントを表示できます。

      外部 ID に関するパートナードキュメント
      注記

      リソースポリシーに外部 ID が含まれている場合、 へのすべての呼び出しに外部 ID が含まれているPutAuditEventsAPI必要があります。ただし、ポリシーで外部 ID が定義されていない場合でも、パートナーは を呼び出しPutAuditEventsAPIて externalIdパラメータを指定できます。

    2. ソリューション統合の場合は、アカウントの追加 AWS を選択して、ポリシーでプリンシパルとして追加する AWS アカウント ID を指定します。

  7. (オプション) [Tag] (タグ) エリアでは、イベントデータストアおよびチャネルへのアクセスを特定、ソート、および制御できるようにするタグのキーと値のペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については AWS、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

  8. 新しい統合を作成する準備ができたら、[Add integration] (統合を追加) を選択します。レビューページはありません。 は統合 CloudTrail を作成しますが、チャネル Amazon リソースネーム (ARN) をパートナーアプリケーションに提供する必要があります。パートナーアプリケーションARNにチャンネルを提供する手順は、パートナードキュメントのウェブサイトに記載されています。詳細を参照するには、[Integrations] (統合) ページの [Available sources] (利用可能なソース) タブで、パートナーの [Learn more] (詳細はこちら) リンクを選択し AWS Marketplace内のパートナーページを開きます。

統合のセットアップを完了するには、チャネルをパートナーまたはソースアプリケーションARNに提供します。統合タイプに応じて、ユーザー、パートナー、またはアプリケーションが を実行してPutAuditEventsAPI、 AWS アカウントのイベントデータストアにアクティビティイベントを配信します。アクティビティイベントが配信されたら、 CloudTrail Lake を使用してアプリケーションからログに記録されたデータを検索、クエリ、分析できます。イベントデータには、、、 などのイベントペイロードに一致する CloudTrailフィールドが含まれますeventVersioneventSourceuserIdentity