AWS Private CA の情報 CloudTrail AWS Private CA 管理イベント AWS Private CA イベントの例

を使用した通話のログ記録 AWS Private Certificate Authority API AWS CloudTrail

AWS Private Certificate Authority は、ユーザー AWS CloudTrail、ロール、または AWS のサービスによって実行されたアクションの記録を提供するサービスであると統合されています AWS Private CA。はのAPI呼び出しを CloudTrail キャプチャし、をイベント AWS Private CA として署名します。キャプチャされた呼び出しには、 AWS Private CA コンソールからの呼び出しとオペレーションへのコード呼び出しが含まれます AWS Private CA API。証跡を作成する場合、の CloudTrail イベントを含む Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます AWS Private CA。証跡を設定しない場合でも、 CloudTrail コンソールのイベント履歴で最新のイベントを表示できます。によって収集された情報を使用して CloudTrail、に対して行われたリクエスト AWS Private CA、リクエスト元の IP アドレス、リクエスト者、リクエスト日時、その他の詳細を確認できます。

の詳細については CloudTrail、AWS CloudTrail 「ユーザーガイド」を参照してください。

AWS Private CA の情報 CloudTrail

CloudTrail アカウントを作成する AWS アカウントと、はで有効になります。でアクティビティが発生すると AWS Private CA、そのアクティビティは CloudTrail イベント履歴の他の AWS サービスイベントとともにイベントに記録されます。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、「イベント履歴での CloudTrail イベントの表示」を参照してください。

のイベントを含む AWS アカウント、内のイベントの継続的な記録については AWS Private CA、証跡を作成します。証跡により CloudTrail 、はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたイベントデータをさらに分析して対処するように、他の AWS サービスを設定できます。詳細については、次を参照してください:

すべての AWS Private CA アクションはによってログに記録 CloudTrail され、AWS Private CA APIリファレンスに文書化されます。例えば、を呼び出すIssueCertificateとImportCACertificate、 CreateAuditReportアクションは CloudTrail ログファイルにエントリを生成します。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:

リクエストがルートまたは AWS Identity and Access Management （IAM) ユーザー認証情報を使用して行われたかどうか。
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
リクエストが別の AWS サービスによって行われたかどうか。

詳細については、「 CloudTrail userIdentity要素」を参照してください。

AWS Private CA 管理イベント

AWS Private CA はと統合 CloudTrail して、ユーザー、ロール、または AWS のサービスによって行われたAPIアクションをに記録します AWS Private CA。を使用してリクエスト CloudTrail をリアルタイムでモニタリング AWS Private CA APIし、Amazon Simple Storage Service、Amazon CloudWatch Logs、Amazon CloudWatch Events にログを保存できます。 AWS Private CA では、次のアクションとオペレーションをイベントとして CloudTrail ログファイルに記録できます。

CreateCertificateAuthority
CreateCertificateAuthorityAuditReport
DeleteCertificateAuthority
DeletePolicy
DescribeCertificateAuthority
GetCertificate
GetCertificateAuthorityCertificate
GetCertificateAuthorityCsr
GetPolicy
ImportCertificateAuthorityCertificate
IssueCertificate
ListTags
ListCertificateAuthorities
PutPolicy
RestoreCertificateAuthority
TagCertificateAuthority
UntagCertificateAuthority
UpdateCertificateAuthority
GenerateOCSPResponse - がOCSPレスポンス AWS Private CA を生成するとトリガーされます。
SignCertificate - クライアントがを呼び出すときに生成されますIssueCertificate。
SignOCSPResponse - がOCSPレスポンス AWS Private CA に署名したときに生成されます。
GenerateCRL - が証明書失効リスト () AWS Private CA を生成すると生成されますCRL。
SignCACSR - が認証局 (CA) 証明書署名リクエスト () AWS Private CA に署名したときに生成されますCSR。
SignCRL - が AWS Private CA に署名したときに生成されますCRL。

AWS Private CA イベントの例

証跡は、指定した Amazon S3 バケットへのログファイルとしてイベントを配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは、任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日付と時刻、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、特定の順序で表示されません。

AWS Private CA CloudTrail イベントの例を次に示します。

例 1: 管理イベント、 `IssueCertificate`

次の例は、 IssueCertificateアクションを示す CloudTrail ログエントリを示しています。


{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Certificate Issuance",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T19:57:46Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
   ],
   "detail":{
      "result":"success"
   }
}

例 2: 管理イベント、 `ImportCertificateAuthorityCertificate`

次の例は、 ImportCertificateAuthorityCertificateアクションを示す CloudTrail ログエントリを示しています。


{
   "eventVersion":"1.05",
   "userIdentity":{
      "type":"IAMUser",
      "principalId":"account",
      "arn":"arn:aws:iam::account:user/name",
      "accountId":"account",
      "accessKeyId":"key_ID"
   },
   "eventTime":"2018-01-26T21:53:28Z",
   "eventSource":"acm-pca.amazonaws.com",
   "eventName":"ImportCertificateAuthorityCertificate",
   "awsRegion":"region",
   "sourceIPAddress":"IP_address",
   "userAgent":"agent",
   "requestParameters":{
      "certificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "certificate":{
         "hb":[
            45,
            45,
            ...10
         ],
         "offset":0,
         "isReadOnly":false,
         "bigEndian":true,
         "nativeByteOrder":false,
         "mark":-1,
         "position":1257,
         "limit":1257,
         "capacity":1257,
         "address":0
      },
      "certificateChain":{
         "hb":[
            45,
            45,
            ...10
         ],
         "offset":0,
         "isReadOnly":false,
         "bigEndian":true,
         "nativeByteOrder":false,
         "mark":-1,
         "position":1139,
         "limit":1139,
         "capacity":1139,
         "address":0
      }
   },
   "responseElements":null,
   "requestID":"request_ID",
   "eventID":"event_ID",
   "eventType":"AwsApiCall",
   "recipientAccountId":"account"
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CloudWatch イベント AWS Private CA によるモニタリング

トラブルシューティング