翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した Macie APIコールのログ記録 AWS CloudTrail
Amazon Macie が と統合 AWS CloudTrail。ユーザー、ロール、または によって実行されたアクションを記録するサービスです。 AWS のサービス。 CloudTrail は Macie のすべてのAPI呼び出しを管理イベントとしてキャプチャします。キャプチャされた呼び出しには、Amazon Macie コンソールからの呼び出しとAmazon Macie APIオペレーションへのプログラムによる呼び出しが含まれます。で収集された情報を使用して CloudTrail、Macie に対するリクエスト、リクエスト元の IP アドレス、リクエスト日時などの詳細を確認できます。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:
-
ルートユーザーまたはユーザー認証情報のどちらを使用してリクエストが送信されたか
-
リクエストが に代わって行われたかどうか AWS IAM Identity Center ユーザー。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが別の によって行われたかどうか AWS のサービス.
CloudTrail は でアクティブです AWS アカウント アカウントを作成し、 CloudTrail イベント履歴 に自動的にアクセスできる場合。 CloudTrail イベント履歴には、過去 90 日間に記録された管理イベントの、表示可能、検索可能、ダウンロード可能、およびイミュータブルなレコードが に表示されます。 AWS リージョン。 詳細については、「」の CloudTrail 「イベント履歴の使用」を参照してください。 AWS CloudTrail ユーザーガイド 。イベント履歴を表示するための料金はかかりません CloudTrail。
のイベントを継続的に記録するには AWS アカウント 過去 90 日間、証跡または Lake CloudTrailイベントデータストアを作成します。
- CloudTrail 証跡
-
証跡により CloudTrail 、 はログファイルを Amazon S3 バケットに配信できます。を使用して作成されたすべての証跡 AWS Management Console はマルチリージョンです。を使用して、単一リージョンまたはマルチリージョンの証跡を作成できます。 AWS CLI。 すべての でアクティビティをキャプチャするため、マルチリージョン証跡を作成することをお勧めします。 AWS リージョン アカウント内の 。単一リージョンの証跡を作成する場合、証跡の に記録されたイベントのみを表示できます。 AWS リージョン。 証跡の詳細については、「 の証跡の作成」を参照してください。 AWS アカウント および での組織の証跡の作成 AWS CloudTrail ユーザーガイド 。
証跡を作成 CloudTrail することで、 から Amazon S3 バケットに継続的な管理イベントのコピーを 1 つ無料で配信できますが、Amazon S3 ストレージ料金が発生します。 CloudTrail 料金の詳細については、「」を参照してください。 AWS CloudTrail 料金
Amazon S3 の料金に関する詳細については、「Amazon S3 の料金 」を参照してください。 - CloudTrail Lake イベントデータストア
-
CloudTrail Lake では、イベントに対して SQLベースのクエリを実行できます。 CloudTrail Lake は、既存のイベントを行ベースのJSON形式で Apache ORC
形式に変換します。ORC は、データの高速取得に最適化された列指向ストレージ形式です。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いた、イベントのイミュータブルなコレクションです。どのイベントが存続し、クエリに使用できるかは、イベントデータストアに適用するセレクタが制御します。 CloudTrail Lake の詳細については、「 の使用」を参照してください。 AWS CloudTrail の Lake AWS CloudTrail ユーザーガイド 。 CloudTrail Lake イベントデータストアとクエリにはコストが発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。 CloudTrail 料金の詳細については、「」を参照してください。 AWS CloudTrail 料金
の Macie 管理イベント AWS CloudTrail
管理イベントは、 のリソースで実行される管理オペレーションに関する情報を提供します。 AWS アカウント。 これらはコントロールプレーンオペレーションとも呼ばれます。デフォルトでは、 は管理イベント CloudTrail を記録します。
Amazon Macie は、すべての Macie コントロールプレーンオペレーションを管理イベントとして に記録します CloudTrail。例えば、ListFindings、、および CreateClassificationJobオペレーションを呼び出すとDescribeBuckets、 で管理イベントが生成されます CloudTrail。各イベントには eventSourceフィールドが含まれます。このフィールドは、 AWS のサービス リクエストが行われた 。Macie イベントの場合、このフィールドの値は ですmacie2.amazonaws.com。
Macie が に記録するコントロールプレーンオペレーションのリストについては CloudTrail、「Amazon Macie リファレンス」の「オペレーション」を参照してください。 Amazon Macie API
での Macie イベントの例 AWS CloudTrail
イベントは任意のソースからの単一のリクエストを表し、リクエストされたAPIオペレーション、オペレーションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
次の例は、Amazon Macie オペレーションを示す CloudTrail イベントを示しています。イベントに含まれる可能性のある情報の詳細については、「」のCloudTrail「レコードの内容」を参照してください。 AWS CloudTrail ユーザーガイド 。
例: 検出結果の一覧表示
次の例は、Amazon Macie ListFindingsオペレーションの CloudTrail イベントを示しています。この例では、 AWS Identity and Access Management (IAM) ユーザー (Mary_Major) は、Amazon Macie コンソールを使用して、アカウントの現在のポリシー検出結果に関する情報のサブセットを取得しました。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext":{
"attributes": {
"creationdate": "2023-11-14T15:49:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-11-14T16:09:56Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "ListFindings",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"sortCriteria": {
"attributeName": "updatedAt",
"orderBy": "DESC"
},
"findingCriteria": {
"criterion": {
"archived": {
"eq": [
"false"
]
},
"category": {
"eq": [
"POLICY"
]
}
}
},
"maxResults": 25,
"nextToken": ""
},
"responseElements": null,
"requestID": "d58af6be-1115-4a41-91f8-ace03example",
"eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}例: 検出結果についての機密データのサンプルの取得
この例では、Amazon Macie が検出結果で報告した機密データのサンプルを取得して公開するための CloudTrail イベントを示しています。この例では、 AWS Identity and Access Management (IAM) ユーザー (JohnDoe) は、Amazon Macie コンソールを使用して機密データのサンプルを取得して公開しました。ユーザーのアカウントは、影響を受ける Amazon Simple Storage Service (Amazon S3MacieReveal) オブジェクトから機密データのサンプルを取得して公開するIAMロール () を引き受けるように設定されています。Amazon S3
次のイベントは、Amazon Macie GetSensitiveDataOccurrencesオペレーションを実行して機密データのサンプルを取得して公開するユーザーのリクエストに関する詳細を示しています。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-12-12T14:40:23Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-12-12T17:04:47Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "GetSensitiveDataOccurrences",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.252",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"findingId": "3ad9d8cd61c5c390bede45cd2example"
},
"responseElements": null,
"requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
"eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}次のイベントは、Macie の詳細を表示し、次に を実行して指定されたIAMロール (MacieReveal) を引き受けます。 AWS Security Token Service (AWS STS) AssumeRoleオペレーション。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "reveal-samples.macie.amazonaws.com"
},
"eventTime": "2023-12-12T17:04:47Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "reveal-samples.macie.amazonaws.com",
"userAgent": "reveal-samples.macie.amazonaws.com",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
"roleSessionName": "RevealCrossAccount"
},
"responseElements": {
"credentials": {
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
"expiration": "Dec 12, 2023, 6:04:47 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
"arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
}
},
"requestID": "d905cea8-2dcb-44c1-948e-19419example",
"eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::111122223333:role/MacieReveal"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}CloudTrail イベントの内容の詳細については、「」のCloudTrail「 レコードの内容」を参照してください。 AWS CloudTrail ユーザーガイド 。
