翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用した AWS Payment Cryptography API コールのログ記録 AWS CloudTrail
AWS Payment Cryptography は AWS CloudTrail、 AWS Payment Cryptography のユーザー、ロール、または サービスによって実行されたアクションを記録する AWS サービスである と統合されています。CloudTrail は、 AWS Payment Cryptography のすべての API コールをイベントとしてキャプチャします。キャプチャされたコールには、 コンソールのコールと、 API オペレーションへのコードのコールが含まれます。証跡を作成する場合は、 AWS Payment Cryptography のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールのイベント**履歴で最新の管理 (コントロールプレーン) イベント**を表示できます。CloudTrail で収集された情報を使用して、 AWS Payment Cryptography に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。
**Topics**
+ [AWS CloudTrail での Payment Cryptography 情報](#service-name-info-in-cloudtrail)
+ [CloudTrail のコントロールプレーンイベント](#management-events-in-cloud-trail)
+ [CloudTrail のデータイベント](#data-events-in-cloud-trail)
+ [AWS Payment Cryptography Control Plane ログファイルエントリについて](#understanding-controlplane-entries)
+ [AWS Payment Cryptography データプレーンのログファイルエントリについて](#understanding-dataplane-entries)
## AWS CloudTrail での Payment Cryptography 情報
CloudTrail は、 AWS アカウントの作成時にアカウントで有効になります。 AWS Payment Cryptography でアクティビティが発生すると、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。最近のイベントは、 AWS アカウントで表示、検索、ダウンロードできます。詳細については、[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)を参照してください。
AWS Payment Cryptography のイベントなど、 AWS アカウント内のイベントの継続的な記録については、証跡を作成します。*証跡*により、ログファイルを CloudTrail で Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、すべての AWS リージョンに証跡が適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づいて対応するため、他の AWS サービスを構成できます。詳細については、次を参照してください:
+ [追跡を作成するための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ 「[CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)」
+ [CloudTrail ログファイルの複数のリージョンからの受け取り](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
+ [複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
+ リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか。
+ リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
+ リクエストが別の AWS サービスによって行われたかどうか。
詳細については、「[CloudTrail userIdentity エレメント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。
## CloudTrail のコントロールプレーンイベント
CloudTrail は、[CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html)、[ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey.html)、[DeleteKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_DeleteKey.html)、[ListKeys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ListKeys.html)、[TagResource](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_TagResource.html)、およびその他のすべてのコントロールプレーンオペレーションなどの AWS Payment Cryptography オペレーションをログに記録します。
## CloudTrail のデータイベント
[ データイベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events.html)は、ペイロードの暗号化やピンの変換など、リソース上またはリソース内で実行されるリソースオペレーションに関する情報を提供します。データイベントは大量のアクティビティで、CloudTrail はデフォルトではログに記録しません。CloudTrail API またはコンソールを使用して、 AWS Payment Cryptography データプレーンイベントのデータイベント APIs アクションログを有効にできます。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[データイベントをログ記録する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)」を参照してください。
CloudTrail では、高度なイベントセレクタを使用して、ログに記録および記録される AWS Payment Cryptography API アクティビティを決定する必要があります。 AWS Payment Cryptography データプレーンイベントをログに記録するには、リソースタイプ `AWS Payment Cryptography key`と を含める必要があります`AWS Payment Cryptography alias`。これを設定したら、`eventName` フィルタを使用して `EncryptData` イベントを追跡するなど、記録する特定のデータイベントを選択して、ロギング設定をさらに絞り込むことができます。詳細については、「*AWS CloudTrail API リファレンス*」の「[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)」を参照してください。
**注記**
AWS Payment Cryptography データイベントをサブスクライブするには、高度なイベントセレクタを使用する必要があります。すべてのイベントを確実に受信できるように、キーイベントとエイリアスイベントにサブスクライブすることをお勧めします。
**AWS Payment Cryptography データイベント:**
+ `[DecryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html)`
+ `[EncryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_EncryptData.html)`
+ `[GenerateCardValidationData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateCardValidationData.html)`
+ `[GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html)`
+ `[GeneratePinData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GeneratePinData.html)`
+ `[ReEncryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_ReEncryptData.html)`
+ `[TranslatePinData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_TranslatePinData.html)`
+ `[VerifyAuthRequestCryptogram](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyAuthRequestCryptogram.html)`
+ `[VerifyCardValidationData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyCardValidationData.html)`
+ `[VerifyMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyMac.html)`
+ `[VerifyPinData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyPinData.html)`
追加の変更がイベントデータに適用されます。詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
## AWS Payment Cryptography Control Plane ログファイルエントリについて
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは、任意の出典からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序では表示されません。
次の例は、 AWS Payment Cryptography `CreateKey`アクションを示す CloudTrail ログエントリを示しています。
```
{
CloudTrailEvent: {
tlsDetails= {
TlsDetails: {
cipherSuite=TLS_AES_128_GCM_SHA256,
tlsVersion=TLSv1.3,
clientProvidedHostHeader=controlplane.paymentcryptography.us-west-2.amazonaws.com
}
},
requestParameters=CreateKeyInput (
keyAttributes=KeyAttributes(
KeyUsage=TR31_B0_BASE_DERIVATION_KEY,
keyClass=SYMMETRIC_KEY,
keyAlgorithm=AES_128,
keyModesOfUse=KeyModesOfUse(
encrypt=false,
decrypt=false,
wrap=false
unwrap=false,
generate=false,
sign=false,
verify=false,
deriveKey=true,
noRestrictions=false)
),
keyCheckValueAlgorithm=null,
exportable=true,
enabled=true,
tags=null),
eventName=CreateKey,
userAgent=Coral/Apache-HttpClient5,
responseElements=CreateKeyOutput(
key=Key(
keyArn=arn:aws:payment-cryptography:us-east-2:111122223333:key/5rplquuwozodpwsp,
keyAttributes=KeyAttributes(
KeyUsage=TR31_B0_BASE_DERIVATION_KEY,
keyClass=SYMMETRIC_KEY,
keyAlgorithm=AES_128,
keyModesOfUse=KeyModesOfUse(
encrypt=false,
decrypt=false,
wrap=false,
unwrap=false,
generate=false,
sign=false,
verify=false,
deriveKey=true,
noRestrictions=false)
),
keyCheckValue=FE23D3,
keyCheckValueAlgorithm=ANSI_X9_24,
enabled=true,
exportable=true,
keyState=CREATE_COMPLETE,
keyOrigin=AWS_PAYMENT_CRYPTOGRAPHY,
createTimestamp=Sun May 21 18:58:32 UTC 2023,
usageStartTimestamp=Sun May 21 18:58:32 UTC 2023,
usageStopTimestamp=null,
deletePendingTimestamp=null,
deleteTimestamp=null)
),
sourceIPAddress=192.158.1.38,
userIdentity={
UserIdentity: {
arn=arn:aws:sts::111122223333:assumed-role/TestAssumeRole-us-west-2/ControlPlane-IntegTest-68211a2a-3e9d-42b7-86ac-c682520e0410,
invokedBy=null,
accessKeyId=TESTXECZ5U2ZULLHHMJG,
type=AssumedRole,
sessionContext={
SessionContext: {
sessionIssuer={
SessionIssuer: {arn=arn:aws:iam::111122223333:role/TestAssumeRole-us-west-2,
type=Role,
accountId=111122223333,
userName=TestAssumeRole-us-west-2,
principalId=TESTXECZ5U9M4LGF2N6Y5}
},
attributes={
SessionContextAttributes: {
creationDate=Sun May 21 18:58:31 UTC 2023,
mfaAuthenticated=false
}
},
webIdFederationData=null
}
},
username=null,
principalId=TESTXECZ5U9M4LGF2N6Y5:ControlPlane-User,
accountId=111122223333,
identityProvider=null
}
},
eventTime=Sun May 21 18:58:32 UTC 2023,
managementEvent=true,
recipientAccountId=111122223333,
awsRegion=us-west-2,
requestID=151cdd67-4321-1234-9999-dce10d45c92e,
eventVersion=1.08, eventType=AwsApiCall,
readOnly=false,
eventID=c69e3101-eac2-1b4d-b942-019919ad2faf,
eventSource=payment-cryptography.amazonaws.com,
eventCategory=Management,
additionalEventData={
}
}
}
```
次の例は、マルチリージョンキーレプリケーションを有効にする AWS Payment Cryptography を示す CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "payment-cryptography.amazonaws.com"
},
"eventTime": "2025-08-15T17:50:41Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "payment-cryptography.amazonaws.com",
"userAgent": "payment-cryptography.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "55c0fcbc-5b2e-4bd2-a976-99305be6e6fc",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyArn": "arn:aws:payment-cryptography:us-east-1:111122223333:key/key-id",
"replicationRegion": "us-east-2"
},
"eventCategory": "Management"
}
```
## AWS Payment Cryptography データプレーンのログファイルエントリについて
データプレーンイベントは、オプションでコントロールプレーンログと同様に設定して機能できますが、通常ははるかに大きいボリュームです。 AWS Payment Cryptography データプレーンオペレーションへの一部の入力と出力の機密性を考慮すると、「\$1\$1\$1 Sensitive Data Redacted \$1\$1\$1」というメッセージを含む特定のフィールドが見つかる場合があります。これは設定できず、機密データがログや証跡に表示されないようにすることを目的としています。
次の例は、 AWS Payment Cryptography `EncryptData`アクションを示す CloudTrail ログエントリを示しています。
```
{
"Records": [
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTXECZ5U2ZULLHHMJG:DataPlane-User",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/DataPlane-User",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"userName": "",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-07-09T14:23:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-07-09T14:24:02Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "GenerateCardValidationData",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.158.1.38",
"userAgent": "aws-cli/2.17.6 md/awscrt#0.20.11 ua/2.0 os/macos#23.4.0 md/arch#x86_64 lang/python#3.11.8 md/pyimpl#CPython cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#payment-cryptography-data.generate-card-validation-data",
"requestParameters": {
"key_identifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/5rplquuwozodpwsp",
"primary_account_number": "*** Sensitive Data Redacted ***",
"generation_attributes": {
"CardVerificationValue2": {
"card_expiry_date": "*** Sensitive Data Redacted ***"
}
}
},
"responseElements": null,
"requestID": "f2a99da8-91e2-47a9-b9d2-1706e733991e",
"eventID": "e4eb3785-ac6a-4589-97a1-babdd3d4dd95",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::PaymentCryptography::Key",
"ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/5rplquuwozodpwsp"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "dataplane.payment-cryptography.us-east-2.amazonaws.com"
}
}
]
}
```