コンソールを使用して証跡イベントを新しいイベントデータストアにコピーする - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用して証跡イベントを新しいイベントデータストアにコピーする

このチュートリアルでは、履歴分析のために証跡イベントを新しい CloudTrail Lake イベントデータストアにコピーする方法を示します。証跡イベントのコピーに関する詳細については、「イベントデータストアへ証跡イベントをコピーします」を参照してください。

新規イベントデータストアへ証跡イベントをコピーする

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. イベントデータストアの設定ページで、一般的な詳細 で、イベントデータストアに次のような名前を付けます。my-management-events-eds。 ベストプラクティスとして、イベントデータストアの目的をすばやく特定する名前を使用します。 CloudTrail 命名要件の詳細については、「」を参照してください CloudTrail リソース、S3 バケット、およびKMSキーの命名要件

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail  料金表」と「 CloudTrail Lake コストの管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日後、延長保持は料金で pay-as-you-go利用できます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの eventTime が指定された保持期間内であるかどうかをチェックして、イベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、 eventTimeは 90 日より古いイベント CloudTrail を削除します。

    注記

    CloudTrail は、指定された保持期間よりeventTime古いイベントをコピーしません。

    適切な保持期間を決定するには、コピーする最も古いイベントの合計を日数で、イベントデータストアにイベントを保持する日数 (保持期間 = oldest-event-in-days + number-days-to-retain)。 例えば、コピーする最も古いイベントが 45 日経過していて、イベントデータストアにイベントをさらに 45 日間保持する場合は、保持期間を 90 日に設定します。

  7. (オプション) Encryption で、独自のKMSキーを使用してイベントデータストアを暗号化するかどうかを選択します。デフォルトでは、イベントデータストア内のすべてのイベントは、 AWS を所有および管理しているKMSキー CloudTrail を使用して暗号化されます。

    独自のKMSキーを使用して暗号化を有効にするには、独自の を使用する AWS KMS keyを選択します。新規 を選択して AWS KMS key を作成するか、既存の を選択して既存のKMSキーを使用します。Enter KMS alias で、 形式でエイリアスを指定します。 alias/MyAliasName。 独自のKMSキーを使用するには、KMSキーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいの AWS KMS キーポリシーを設定する CloudTrail。 は AWS KMS マルチリージョンキー CloudTrail もサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自のKMSキーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存のKMSキーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、データカタログの AWS Glue イベントデータストアに関連付けられたメタデータを表示し、Athena のイベントデータに対してSQLクエリを実行できます。 AWS Glue Data Catalog に保存されているテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) をデータセットに追加します。タグは、 CloudTrail イベントデータストアを識別するのに役立ちます。例えば、stage という名前の prod という値のタグをアタッチできます。タグを使用して、イベントデータストアへのアクセスを制限できます。タグを使用して、イベントデータストアのクエリコストと取り込みコストを追跡することもできます。

    タグを使用してコストを追跡する方法については、「 CloudTrail Lake イベントデータストアのユーザー定義のコスト配分タグの作成」を参照してください。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法については AWS、「 AWS リソースのタグ付けユーザーガイド」の AWS 「リソースのタグ付け」を参照してください。

  10. [次へ] を選択して、イベントデータストアを設定します。

  11. [イベントの選択]ページで、[イベントタイプ] はデフォルトの選択のままにします。

    イベントデートストアのイベントタイプを選択します。

  12. CloudTrail イベント の場合、管理イベントが選択されたままになり、証跡イベントのコピー を選択します。この例では、イベントデータストアは過去のイベントの分析にのみ使用し、将来のイベントは取り込まないため、イベントタイプを考慮する必要はありません。

    既存の証跡を置き換えるためにイベントデータストアを作成する場合は、証跡と同じイベントセレクターを選択して、イベントデータストアが同じイベント範囲であることを確認してください。

    CloudTrail イベントデータストアのイベントタイプを選択する

  13. 組織のイベントデートストアの場合は、[組織内の全アカウントで有効にする] を選択します。このオプションは、 AWS Organizations でアカウントを設定していない場合は変更できません。

    注記

    組織のイベントデータストアを作成する場合、組織イベントデータストアに証跡イベントをコピーできるのは管理アカウントだけなので、組織の管理アカウントでサインインする必要があります。

  14. [追加設定] で、[イベントの取り込み] を選択解除します。この例では、コピーされたイベントのクエリのみを扱い、イベントデータストアでは未来のイベントを取り込まないためです。デフォルトでは、イベントデータストアはすべてのイベントを収集 AWS リージョン し、作成時にイベントの取り込みを開始します。

  15. [管理イベント] は、デフォルト設定のままにします。

    イベントデータストアの管理イベントオプションを選択する

  16. [証跡イベントのコピー] 領域で、以下の手順を完了してください。

    1. コピーするトレイルを選択します。この例では、 という名前の証跡を選択します。management-events.

      デフォルトでは、 は S3 バケットのCloudTrailプレフィックスとプレフィックス内のCloudTrailプレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、「Enter S3 URI」を選択し、「Browse S3」を選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化にKMSキーを使用している場合は、KMSキーポリシーで CloudTrail がデータを復号化できることを確認してください。ソース S3 バケットが複数のKMSキーを使用している場合は、バケット内のデータを復号 CloudTrail するために が許可するように、各キーのポリシーを更新する必要があります。KMS キーポリシーの更新の詳細については、「」を参照してくださいKMS ソース S3 バケット内のデータを復号するためのキーポリシー

    2. イベントをコピーする時間範囲を選択します。 はプレフィックスとログファイル名 CloudTrail をチェックして、証跡イベントをコピーする前に、選択した開始日と終了日の間の日付が名前に含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

      • 相対範囲 を選択した場合、過去 6 か月、1 年、2 年、7 年、またはカスタム範囲に記録されたイベントをコピーできます。選択した期間内に記録されたイベント CloudTrail をコピーします。

      • Absolute range を選択した場合、特定の開始日と終了日を選択できます。選択した開始日と終了日の間に発生したイベント CloudTrail をコピーします。

      この例では、絶対範囲を選択し、5 月全体を選択します。

      イベントデータストアの絶対範囲を選択する

    3. アクセス許可 では、次のIAMロールオプションから選択します。既存のIAMロールを選択する場合は、IAMロールポリシーが必要なアクセス許可を付与していることを確認します。IAM ロールのアクセス許可の更新の詳細については、「」を参照してくださいIAM 証跡イベントをコピーするためのアクセス許可

      • 新しいロールを作成する (推奨) を選択して、新しいIAMロールを作成します。IAM ロール名を入力 には、 role の名前を入力します。 は、この新しいロールに必要なアクセス許可 CloudTrail を自動的に作成します。

      • カスタムIAMロールを使用してARN、リストされていないカスタムIAMロールを使用するを選択します。Enter role IAM ARNには、 IAM を入力しますARN。

      • ドロップダウンリストから既存のIAMロールを選択します。

      この例では、[新しいロールを作成し (推奨)] を選択し、copy-trail-events と名前をつけます。

    CloudTrail イベントをコピーするためのオプションを選択する

  17. [Next] (次へ) を選択して、選択内容を確認します。

  18. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  19. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    イベントデータストアを表示する

  20. イベントデータストア名を選択すると、詳細ページが表示されます。詳細ページには、イベントデータストアの詳細とコピーのステータスが表示されます。イベントのコピーステータスは、[イベントコピーのステータス] 領域に表示されます。

    証跡イベントのコピーが完了すると、その[Copy status] (コピー ステータス) は、エラーがない場合は[Completed] (完了) に設定され、エラーが発生した場合は[Failed] (失敗) に設定されます。

    詳細ページでイベントコピーのステータスを表示する

  21. コピーの詳細を表示するには、[イベントログ S3 の場所] 列を選択するか、[アクション] メニューで [詳細を表示] を 選択します。証跡イベントコピーの詳細を表示する方法については、「 CloudTrail コンソールでイベントコピーの詳細を表示する」を参照してください。

    イベントコピーの詳細を表示する

  22. [コピー失敗] 領域には、証跡イベントのコピー時に発生したすべてのエラーが表示されます。[Copy status] (コピーのステータス) が[Failed] (失敗) の場合は、[Copy failures] (コピーの失敗) に示されているエラーを修正し、[Retry copy] (コピーの再試行) を選択します。コピーを再試行すると、 は障害が発生した場所でコピー CloudTrail を再開します。