AWS CloudTrail を使用した Macie API コールのログ記録
Amazon Macie は、ユーザー、ロール、または AWS のサービスが実行したアクションの記録を提供するサービスである AWS CloudTrail と統合されています。CloudTrail は、Macie のすべての API コールを管理イベントとしてキャプチャします。コールには、Amazon Macie コンソールからの呼び出しと、Amazon Macie API オペレーションに対するプログラムによる呼び出しが含まれます。CloudTrail で収集された情報を使用して、Macie に対するリクエスト、リクエスト元の IP アドレス、リクエストの作成日時、その他の詳細を確認できます。
各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:
-
ルートユーザーまたはユーザー認証情報のどちらを使用してリクエストが送信されたか
-
リクエストが AWS IAM Identity Center ユーザーに代わって行われたかどうか。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが、別の AWS のサービス によって送信されたかどうか。
アカウントを作成すると、AWS アカウント で CloudTrail がアクティブになり、自動的に CloudTrail の[イベント履歴] にアクセスできるようになります。CloudTrail の [イベント履歴] では、AWS リージョン で過去 90 日間に記録された 管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。詳細については、「AWS CloudTrail ユーザーガイド」の「CloudTrail イベント履歴の使用」を参照してください。[イベント履歴] の閲覧には CloudTrail の料金はかかりません。
AWS アカウント で過去 90 日間のイベントを継続的に記録するには、証跡または CloudTrail Lake イベントデータストアを作成します。
- CloudTrail 証跡
-
証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。AWS Management Console を使用して作成した証跡はマルチリージョンです。AWS CLI を使用する際は、単一リージョンまたは複数リージョンの証跡を作成できます。アカウント内のすべて AWS リージョン でアクティビティを把握するため、マルチリージョン証跡を作成することをお勧めします。単一リージョンの証跡を作成する場合、証跡の AWS リージョン に記録されたイベントのみを表示できます。証跡の詳細については、「AWS CloudTrail ユーザーガイド」の「AWS アカウント の証跡の作成」および「組織の証跡の作成」を参照してください。
証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から Amazon S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
」を参照してください。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金 」を参照してください。 - CloudTrail Lake イベントデータストア
-
CloudTrail Lake を使用すると、イベントに対して SQL ベースのクエリを実行できます。CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC
形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いた、イベントのイミュータブルなコレクションです。どのイベントが存続し、クエリに使用できるかは、イベントデータストアに適用するセレクタが制御します。CloudTrail Lake の詳細については、「AWS CloudTrail ユーザーガイド」の「Lake の使用AWS CloudTrail」を参照してください。 CloudTrail Lake のイベントデータストアとクエリにはコストがかかります。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
」を参照してください。
AWS CloudTrail での Macie 管理イベント
管理イベントでは、AWS アカウント のリソースに対して実行される管理オペレーションについての情報が得られます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。CloudTrail は、デフォルトで管理イベントをログ記録します。
Amazon Macie は、すべての Macie コントロールプレーンオペレーションを CloudTrail の管理イベントとしてログに記録します。例えば ListFindings、DescribeBuckets、CreateClassificationJob の各オペレーションへのコールは、CloudTrail 内に管理イベントを生成します。各イベントには eventSource フィールドが含まれます。このフィールドは、リクエストが行われた AWS のサービスを示します。Macie イベントの場合、このフィールドの値は macie2.amazonaws.com です。
Macie が CloudTrail でログに記録するコントロールプレーンオペレーションのリストについては、Amazon Macie API リファレンスの「オペレーション」を参照してください。
AWS CloudTrail での Macie イベントの例
各イベントは任意の送信元からの単一のリクエストを表し、リクエストされた API オペレーション、オペレーションの日時、リクエストパラメータなどに関する情報を含みます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
以下の例では、Amazon Macie オペレーションを示す CloudTrail イベントを示しています。イベントに含まれる可能性のある情報の詳細については、AWS CloudTrail ユーザーガイドの「CloudTrail レコードの内容」を参照してください。
例: 検出結果の一覧表示
次の例は、Amazon Macie ListFindings オペレーションの CloudTrail イベントを示したものです。この例では、ある AWS Identity and Access Management (IAM) ユーザー (Mary_Major) が Amazon Macie コンソールを使用して、自分のアカウントのために、現在のポリシーに関する検出結果についての情報のサブセットを取得しました。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext":{
"attributes": {
"creationdate": "2023-11-14T15:49:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-11-14T16:09:56Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "ListFindings",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"sortCriteria": {
"attributeName": "updatedAt",
"orderBy": "DESC"
},
"findingCriteria": {
"criterion": {
"archived": {
"eq": [
"false"
]
},
"category": {
"eq": [
"POLICY"
]
}
}
},
"maxResults": 25,
"nextToken": ""
},
"responseElements": null,
"requestID": "d58af6be-1115-4a41-91f8-ace03example",
"eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}例: 検出結果についての機密データのサンプルの取得
この例は、Amazon Macie が検出結果で報告した機密データのサンプルを取得して公開するための CloudTrail イベントを示しています。この例では、ある AWS Identity and Access Management (IAM) ユーザー (JohnDoe) が Amazon Macie コンソールを使用して機密データのサンプルを取得して公開しました。ユーザーのアカウントは、IAM ロール (MacieReveal) を引き受け、影響を受ける Amazon Simple Storage Service (Amazon S3) オブジェクトから機密データサンプルを取得して公開するように設定されています。
次のイベントは、Amazon Macie の GetSensitiveDataOccurrences オペレーションを実行して機密データのサンプルを取得して公開するというユーザーのリクエストの詳細を示しています。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-12-12T14:40:23Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-12-12T17:04:47Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "GetSensitiveDataOccurrences",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.252",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"findingId": "3ad9d8cd61c5c390bede45cd2example"
},
"responseElements": null,
"requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
"eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}次のイベントは、その後に AWS Security Token Service (AWS STS) AssumeRole オペレーションを実行して、指定された IAM ロール (MacieReveal) を引き受ける Macie に関する詳細を示します。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "reveal-samples.macie.amazonaws.com"
},
"eventTime": "2023-12-12T17:04:47Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "reveal-samples.macie.amazonaws.com",
"userAgent": "reveal-samples.macie.amazonaws.com",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
"roleSessionName": "RevealCrossAccount"
},
"responseElements": {
"credentials": {
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
"expiration": "Dec 12, 2023, 6:04:47 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
"arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
}
},
"requestID": "d905cea8-2dcb-44c1-948e-19419example",
"eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::111122223333:role/MacieReveal"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}CloudTrail イベントの内容については、AWS CloudTrail ユーザーガイドの「CloudTrail record contents」を参照してください。
