翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Macie は、ユーザー、ロール、または AWS のサービスが実行したアクションの記録を提供するサービスである AWS CloudTrail と統合されています。CloudTrail は、Macie のすべての API コールを管理イベントとしてキャプチャします。コールには、Amazon Macie コンソールからの呼び出しと、Amazon Macie API オペレーションに対するプログラムによる呼び出しが含まれます。CloudTrail で収集された情報を使用して、Macie に対するリクエスト、リクエスト元の IP アドレス、リクエストの作成日時、その他の詳細を確認できます。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
-
ルートユーザーまたはユーザー認証情報のどちらを使用してリクエストが送信されたか。
-
リクエストが AWS IAM Identity Center ユーザーに代わって行われたかどうか。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが、別の AWS のサービスによって送信されたかどうか。
アカウント AWS アカウント を作成するとCloudTrail が でアクティブになり、CloudTrail イベント履歴に自動的にアクセスできます。CloudTrail の [イベント履歴] では、 AWS リージョンで過去 90 日間に記録された 管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。詳細については、「AWS CloudTrail ユーザーガイド」の「CloudTrail イベント履歴の使用」を参照してください。[イベント履歴] の閲覧には CloudTrail の料金はかかりません。
AWS アカウント 過去 90 日間のイベントの継続的な記録については、証跡または CloudTrail Lake イベントデータストアを作成します。
- CloudTrail 証跡
-
追跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。を使用して作成された証跡はすべてマルチリージョン AWS Management Console です。 AWS CLIを使用する際は、単一リージョンまたは複数リージョンの証跡を作成できます。 AWS リージョン アカウントのすべての でアクティビティをキャプチャするため、マルチリージョン証跡を作成することをお勧めします。単一リージョンの証跡を作成する場合、証跡の AWS リージョンに記録されたイベントのみを表示できます。証跡の詳細については、「AWS CloudTrail ユーザーガイド」の「AWS アカウントの証跡の作成」および「組織の証跡の作成」を参照してください。
証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から Amazon S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
」を参照してください。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金 」を参照してください。 - CloudTrail Lake イベントデータストア
-
[CloudTrail Lake] を使用すると、イベントに対して SQL ベースのクエリを実行できます。CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC
形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントは、イベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基づいた、イベントのイミュータブルなコレクションです。どのイベントが存続し、クエリに使用できるかは、イベントデータストアに適用するセレクタが制御します。CloudTrail Lake の詳細については、「 AWS CloudTrail ユーザーガイド」の「Working with AWS CloudTrail Lake」を参照してください。 CloudTrail Lake のイベントデータストアとクエリにはコストがかかります。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
」を参照してください。
の Macie 管理イベント AWS CloudTrail
管理イベントは、 のリソースで実行される管理オペレーションに関する情報を提供します AWS アカウント。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。CloudTrail は、デフォルトで管理イベントをログ記録します。
Amazon Macie は、すべての Macie コントロールプレーンオペレーションを CloudTrail の管理イベントとしてログに記録します。例えば ListFindings、DescribeBuckets、CreateClassificationJob の各オペレーションへのコールは、CloudTrail 内に管理イベントを生成します。各イベントには eventSource フィールドが含まれます。このフィールドは、 AWS のサービス リクエストが行われた を示します。Macie イベントの場合、このフィールドの値は macie2.amazonaws.com です。
Macie が CloudTrail でログに記録するコントロールプレーンオペレーションのリストについては、Amazon Macie API リファレンスの「オペレーション」を参照してください。
での Macie イベントの例 AWS CloudTrail
各イベントは任意の送信元からの単一のリクエストを表し、リクエストされた API オペレーション、オペレーションの日時、リクエストパラメータなどに関する情報を含みます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
以下の例では、Amazon Macie オペレーションを示す CloudTrail イベントを示しています。イベントに含まれる可能性のある情報の詳細については、「AWS CloudTrail ユーザーガイド」の「CloudTrail レコードの内容」を参照してください。
例: 検出結果の一覧表示
次の例は、Amazon Macie ListFindings オペレーションの CloudTrail イベントを示したものです。この例では、 AWS Identity and Access Management (IAM) ユーザー (Mary_Major) は Amazon Macie コンソールを使用して、アカウントの現在のポリシー検出結果に関する情報のサブセットを取得しました。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext":{
"attributes": {
"creationdate": "2023-11-14T15:49:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-11-14T16:09:56Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "ListFindings",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"sortCriteria": {
"attributeName": "updatedAt",
"orderBy": "DESC"
},
"findingCriteria": {
"criterion": {
"archived": {
"eq": [
"false"
]
},
"category": {
"eq": [
"POLICY"
]
}
}
},
"maxResults": 25,
"nextToken": ""
},
"responseElements": null,
"requestID": "d58af6be-1115-4a41-91f8-ace03example",
"eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}例: 検出結果についての機密データのサンプルの取得
この例は、Amazon Macie が検出結果で報告した機密データのサンプルを取得して公開するための CloudTrail イベントを示しています。この例では、 AWS Identity and Access Management (IAM) ユーザー (JohnDoe) が Amazon Macie コンソールを使用して機密データのサンプルを取得して公開しました。ユーザーのアカウントは、IAM ロール (MacieReveal) を引き受け、影響を受ける Amazon Simple Storage Service (Amazon S3) オブジェクトから機密データサンプルを取得して公開するように設定されています。
次のイベントは、Amazon Macie の GetSensitiveDataOccurrences オペレーションを実行して機密データのサンプルを取得して公開するというユーザーのリクエストの詳細を示しています。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-12-12T14:40:23Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-12-12T17:04:47Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "GetSensitiveDataOccurrences",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.252",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"findingId": "3ad9d8cd61c5c390bede45cd2example"
},
"responseElements": null,
"requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
"eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}次のイベントは、その後に AWS Security Token Service (AWS STS) AssumeRole オペレーションを実行して、指定された IAM ロール (MacieReveal) を引き受ける Macie に関する詳細を示します。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "reveal-samples.macie.amazonaws.com"
},
"eventTime": "2023-12-12T17:04:47Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "reveal-samples.macie.amazonaws.com",
"userAgent": "reveal-samples.macie.amazonaws.com",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
"roleSessionName": "RevealCrossAccount"
},
"responseElements": {
"credentials": {
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
"expiration": "Dec 12, 2023, 6:04:47 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
"arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
}
},
"requestID": "d905cea8-2dcb-44c1-948e-19419example",
"eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::111122223333:role/MacieReveal"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}CloudTrail イベントの内容については、「AWS CloudTrail ユーザーガイド」の「CloudTrail record contents」を参照してください。
