での監査ログの表示 AWS CloudTrail - Amazon Managed Workflows for Apache Airflow

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での監査ログの表示 AWS CloudTrail

AWS CloudTrail は、作成時に AWS アカウントで有効になります。 CloudTrail は、IAM イベントとして記録される Amazon Managed Workflows for Apache Airflow などの CloudTrail エンティティまたは AWS サービスによって実行されたアクティビティを記録します。過去 90 日間のイベント履歴は、 CloudTrail コンソールで表示、検索、ダウンロードできます。 CloudTrail は、Amazon MWAA コンソールのすべてのイベントと、Amazon MWAA APIs へのすべての呼び出しをキャプチャします。GetEnvironment などの読み取り専用アクションや PublishMetrics アクションはキャプチャされません。このページでは、 CloudTrail を使用して Amazon MWAA のイベントをモニタリングする方法について説明します。

CloudTrail での証跡の作成

Amazon MWAA のイベントなど、 AWS アカウント内のイベントの継続的な記録を表示するには、証跡を作成する必要があります。証跡により、 CloudTrail はログファイルを Amazon S3 バケットに配信できます。証跡を作成しない場合でも、 CloudTrail コンソールで利用可能なイベント履歴を表示できます。例えば、 CloudTrail で収集された情報を使用して、Amazon MWAA に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。詳細については、AWS 「アカウントの証跡の作成」を参照してください。

CloudTrail イベント履歴を使用したイベントの表示

イベント履歴を表示することで、過去 90 日間の運用インシデントとセキュリティインシデントを CloudTrail コンソールでトラブルシューティングできます。例えば、 AWS アカウント内のリソース (IAM ユーザーやその他の AWS リソースなど) の作成、変更、削除に関連するイベントをリージョンごとに表示できます。詳細については、 CloudTrail イベント履歴を使用したイベントの表示」を参照してください。

  1. CloudTrail コンソールを開きます。

  2. [イベント履歴] を選択します。

  3. 表示したいイベントを選択し、[イベントの詳細を比較] を選択します。

CreateEnvironment のトレイルの例

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。

CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、アクションの日時やリクエストパラメータなど、リクエストされたアクションに関する情報が含まれます。 CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではなく、特定の順序で表示されません。次の例では、アクセス許可がないために拒否された CreateEnvironment アクションのログエントリを示します。AirflowConfigurationOptions 内の値は、プライバシー保護のために編集されています。

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "00123456ABC7DEF8HIJK", "arn": "arn:aws:sts::012345678901:assumed-role/root/myuser", "accountId": "012345678901", "accessKeyId": "", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "00123456ABC7DEF8HIJK", "arn": "arn:aws:iam::012345678901:role/user", "accountId": "012345678901", "userName": "user" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2020-10-07T15:51:52Z" } } }, "eventTime": "2020-10-07T15:52:58Z", "eventSource": "airflow.amazonaws.com", "eventName": "CreateEnvironment", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.178", "userAgent": "PostmanRuntime/7.26.5", "errorCode": "AccessDenied", "requestParameters": { "SourceBucketArn": "arn:aws:s3:::my-bucket", "ExecutionRoleArn": "arn:aws:iam::012345678901:role/AirflowTaskRole", "AirflowConfigurationOptions": "***", "DagS3Path": "sample_dag.py", "NetworkConfiguration": { "SecurityGroupIds": [ "sg-01234567890123456" ], "SubnetIds": [ "subnet-01234567890123456", "subnet-65432112345665431" ] }, "Name": "test-cloudtrail" }, "responseElements": { "message": "Access denied." }, "requestID": "RequestID", "eventID": "EventID", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "012345678901" }

次のステップ

  • CloudTrail がサポートする AWS サービスと統合で Word ログで収集されたイベントデータ用に他の サービスを設定する方法について説明します。 CloudTrail

  • CloudTrail が新しいログファイルを Amazon S3 バケットに発行したときに通知を受け取る方法については、「Amazon SNS Notifications for CloudTrail の設定」を参照してください。