翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# で AWS Secrets Manager イベントをログに記録する AWS CloudTrail
<a name="monitoring-cloudtrail"></a>

AWS CloudTrail は Secrets Manager のすべての API コールをイベントとして記録します。これには、Secrets Manager コンソールからのコールや、ローテーションおよびシークレットバージョン削除のための他のいくつかのイベントが含まれます。Secrets Manager レコードのログエントリのリストについては、「[CloudTrail エントリ](cloudtrail_log_entries.md)」を参照してください。

CloudTrail コンソールを使用して、過去 90 日間に記録された イベントを表示できます。Secrets Manager のイベントなど、 AWS アカウント内のイベントの継続的な記録については、CloudTrail がログファイルを Amazon S3 バケットに配信するように証跡を作成します。[AWS 「アカウントの証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)」を参照してください。CloudTrail を CloudTrail ログファイルを[複数の AWS アカウント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) および [AWS リージョン](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) から受信するように設定することもできます。

CloudTrail ログで収集されたデータをさらに分析して処理するように、他の AWS サービスを設定できます。「[CloudTrail ログとのAWS サービス統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)」を参照してください。CloudTrail が、新しいログファイルを Amazon S3 バケットに発行するときにも通知を受け取ることができます。「[CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)」を参照してください。

**CloudTrail ログ（コンソール）からSecrets Manager のイベントを取得するには**

1. CloudTrail コンソールの [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) を開いてください。

1. コンソールが、イベントの発生したリージョンを示してしていることを確認します。コンソールには、選択したリージョンで発生したイベントのみが表示されます。コンソール右上のドロップダウンリストからリージョンを選択してください。

1. 左のナビゲーションペインで **[Event history]** (イベント履歴)を選択します。

1. **[Filter]** (フィルター) 条件、および **[Time range]** (時間範囲) (またはその両方) を選択すると探しているイベントを見つけるのに役立ちます。例えば、次のようになります。

   1. すべての Secrets Manager イベントを表示するには、**[ルックアップ属性]** で **[イベントソース]** を選択します。次に、**[Enter event source]** (イベントソースの入力) で、**secretsmanager.amazonaws.com** を選択します。

   1. シークレットのすべてのイベントを表示するには、**[ルックアップ属性]** で **[リソース名]** を選択します。次に、**[リソース名を入力]** にシークレットの名前を入力します。

1. 追加の詳細を表示するには、イベントの横にある展開矢印を選択します。利用可能なすべての情報を表示するには、**[View event]** (イベントの表示) を選択します。

## AWS CLI
<a name="monitoring-cloudtrail_cli"></a>

**Example CloudTrail ログから Secrets Manager のイベントを取得する**  
次の [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) の例では、Secrets Manager のイベントが検索されます。  

```
aws cloudtrail lookup-events \
    --region us-east-1 \
    --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```

# AWS CloudTrail Secrets Manager の エントリ
<a name="cloudtrail_log_entries"></a>

AWS Secrets Manager は、すべての Secrets Manager オペレーションと、ローテーションと削除に関連するその他のイベントのエントリを AWS CloudTrail ログに書き込みます。これらのイベントに対するアクションの詳細については、「[EventBridge で Secrets Manager のイベントをマッチさせる](monitoring-eventbridge.md)」を参照してください。

**Topics**
+ [Secrets Manager の操作ログエントリ](#cloudtrail_log_entries_operations)
+ [削除用のログエントリ](#cloudtrail_log_entries_deletion)
+ [レプリケーションのログエントリ](#cloudtrail_log_entries_replication)
+ [ローテーションのログエントリ](#cloudtrail_log_entries_rotation)

## Secrets Manager の操作ログエントリ
<a name="cloudtrail_log_entries_operations"></a>

Secrets Manager の操作の呼び出しによって発生するイベントには `"detail-type": ["AWS API Call via CloudTrail"]` があります。

**注記**  
2024 年 2 月以前は、一部の Secrets Manager 操作で、シークレット ARN に「arn」ではなく「aRN」が含まれるイベントが報告されていました。詳細については、「[AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn)」を参照してください。

以下は、ユーザーまたはサービスが API、SDK、または CLI を通じて Secrets Manager オペレーションを呼び出す際に生成される CloudTrail エントリです。

**BatchGetSecretValue**  
[BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) オペレーションによって生成。シークレットを取得する方法の詳細については、「[からシークレットを取得する AWS Secrets Manager](retrieving-secrets.md)」を参照してください。

**CancelRotateSecret**  
[CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html) オペレーションによって生成。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**CreateSecret**  
[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) オペレーションによって生成。シークレットを作成する方法の詳細については、「[でシークレットを管理する AWS Secrets Manager](managing-secrets.md)」を参照してください。

**DeleteResourcePolicy**  
[DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) オペレーションによって生成。許可の詳細については、「[の認証とアクセスコントロール AWS Secrets Manager](auth-and-access.md)」を参照してください。

**DeleteSecret**  
[DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html) オペレーションによって生成。シークレットの削除については、「[AWS Secrets Manager シークレットを削除する](manage_delete-secret.md)」を参照してください。

**DescribeSecret**  
[DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html) オペレーションによって生成。

**GetRandomPassword**  
[GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html) オペレーションによって生成。

**GetResourcePolicy**  
[GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html) オペレーションによって生成。許可の詳細については、「[の認証とアクセスコントロール AWS Secrets Manager](auth-and-access.md)」を参照してください。

**GetSecretValue**  
[GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) と [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) オペレーションによって生成。シークレットを取得する方法の詳細については、「[からシークレットを取得する AWS Secrets Manager](retrieving-secrets.md)」を参照してください。

**ListSecrets**  
[ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html) オペレーションによって生成。シークレットを一覧する方法の詳細については、「[でシークレットを検索する AWS Secrets Manager](manage_search-secret.md)」を参照してください。

**ListSecretVersionIds**  
[ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html) オペレーションによって生成。

**PutResourcePolicy**  
[PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html) オペレーションによって生成。許可の詳細については、「[の認証とアクセスコントロール AWS Secrets Manager](auth-and-access.md)」を参照してください。

**PutSecretValue**  
[PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html) オペレーションによって生成。シークレットを更新する方法の詳細については、「[AWS Secrets Manager シークレットを変更する](manage_update-secret.md)」を参照してください。

**RemoveRegionsFromReplication**  
[RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) オペレーションによって生成。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**ReplicateSecretToRegions**  
[ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) オペレーションによって生成。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**RestoreSecret**  
[RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html) オペレーションによって生成。削除されたシークレットを復元する方法については、「[AWS Secrets Manager シークレットを復元する](manage_restore-secret.md)」を参照してください。

**RotateSecret**  
[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) オペレーションによって生成。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**StopReplicationToReplica**  
[StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html) オペレーションによって生成。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**TagResource**  
[TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html) オペレーションによって生成。シークレットのタグ付けの詳細については、「[でのシークレットのタグ付け AWS Secrets Manager](managing-secrets_tagging.md)」を参照してください。

**UntagResource**  
[UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html) オペレーションによって生成。シークレットのタグ解除の詳細については、「[でのシークレットのタグ付け AWS Secrets Manager](managing-secrets_tagging.md)」を参照してください。

**UpdateSecret**  
[UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html) オペレーションによって生成。シークレットを更新する方法の詳細については、「[AWS Secrets Manager シークレットを変更する](manage_update-secret.md)」を参照してください。

**UpdateSecretVersionStage**  
[UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) オペレーションによって生成。バージョンステージの詳細については、「[シークレットバージョン](whats-in-a-secret.md#term_version)」を参照してください。

**ValidateResourcePolicy**  
[ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) オペレーションによって生成。許可の詳細については、「[の認証とアクセスコントロール AWS Secrets Manager](auth-and-access.md)」を参照してください。

## 削除用のログエントリ
<a name="cloudtrail_log_entries_deletion"></a>

Secrets Manager 操作のイベントに加えて、Secrets Manager は削除に関連する次のイベントを生成します。これらのイベントには `"detail-type": ["AWS Service Event via CloudTrail"]` があります。

**CancelSecretVersionDelete**  
Secrets Manager サービスによって生成されるもの。バージョンを持つシークレットで `DeleteSecret` を呼び出し、後で `RestoreSecret` を呼び出すと、Secrets Manager は、復元されたシークレットバージョンごとにこのイベントをログに記録します。削除されたシークレットを復元する方法については、「[AWS Secrets Manager シークレットを復元する](manage_restore-secret.md)」を参照してください。

**EndSecretVersionDelete**  
シークレットバージョンが削除されたときに、Secrets Manager サービスによって生成されるもの。詳細については、「[AWS Secrets Manager シークレットを削除する](manage_delete-secret.md)」を参照してください。

**StartSecretVersionDelete**  
Secrets Manager がシークレットバージョンの削除を開始する際に、Secrets Manager サービスによって生成されるもの。シークレットの削除については、「[AWS Secrets Manager シークレットを削除する](manage_delete-secret.md)」を参照してください。

**SecretVersionDeletion**  
Secrets Manager が廃止されたシークレットバージョンを削除ときに Secrets Manager サービスによって生成。詳細については、「[Secret versions](whats-in-a-secret.md#term_version)」(シークレットバージョン) を参照してください。

## レプリケーションのログエントリ
<a name="cloudtrail_log_entries_replication"></a>

Secrets Manager 操作のイベントに加えて、Secrets Manager はレプリケーションに関連する次のイベントを生成します。これらのイベントには `"detail-type": ["AWS Service Event via CloudTrail"]` があります。

**ReplicationFailed**  
レプリケーションが失敗したときに Secrets Manager サービスによって生成されます。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**ReplicationStarted**  
Secrets Manager がシークレットのレプリケーションを開始する際に、Secrets Manager サービスによって生成されます。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**ReplicationSucceeded**  
Secrets Manager サービスが正常にレプリケートされたときに Secrets Manager サービスによって生成されます。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

## ローテーションのログエントリ
<a name="cloudtrail_log_entries_rotation"></a>

Secrets Manager 操作のイベントに加えて、Secrets Manager はローテーションに関連する次のイベントを生成します。これらのイベントには `"detail-type": ["AWS Service Event via CloudTrail"]` があります。

**RotationStarted**  
Secrets Manager がシークレットのローテーションを開始する際に、Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**RotationAbandoned**  
Secrets Manager がローテーションの試みを放棄し、シークレットの既存のバージョンから `AWSPENDING` ラベルを削除するときに、Secrets Manager サービスによって生成されるもの。Secrets Manager は、ローテーション中にシークレットの新しいバージョンを作成すると、ローテーションを中止します。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**RotationFailed**  
ローテーションに失敗したときに、Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager ローテーションのトラブルシューティング](troubleshoot_rotation.md)」を参照してください。

**RotationSucceeded**  
Secrets Manager サービスが正常にローテーションされたときに Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**TestRotationStarted**  
Secrets Manager が、即時ローテーションが予定されていないシークレットのローテーションテストを開始したときに Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**TestRotationSucceeded**  
Secrets Manager が、即時ローテーションが予定されていないシークレットのローテーションテストに成功したときに生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**TestRotationFailed**  
Secrets Manager が、即時ローテーションが予定されていないシークレットのローテーションをテストし、ローテーションが失敗したときに、Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager ローテーションのトラブルシューティング](troubleshoot_rotation.md)」を参照してください。