の Amazon WorkDocs 情報 CloudTrail Amazon WorkDocs ログファイルエントリについて

AWS CloudTrail を使用して Amazon WorkDocs API コールを記録する

を使用すると、Amazon WorkDocs API calls を記録 AWS CloudTrailできます。 CloudTrail は、Amazon WorkDocs コンソールからのAPI呼び出しや Amazon へのコード呼び出しなど、 AWS Amazon のすべての呼び出しをイベント WorkDocs として WorkDocs CloudTrail キャプチャします WorkDocs APIs。

証跡を作成する場合は、Amazon の CloudTrail イベントを含む、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます WorkDocs。 Amazon S3 証跡を作成しない場合でも、 CloudTrail コンソールのイベント履歴で最新のイベントを表示できます。

によって収集される情報 CloudTrail には、リクエスト、リクエスト元の IP アドレス、リクエストを行ったユーザー、リクエスト日が含まれます。

の詳細については CloudTrail、AWS CloudTrail 「ユーザーガイド」を参照してください。

の Amazon WorkDocs 情報 CloudTrail

CloudTrail AWS アカウントを作成すると、はアカウントで有効になります。Amazon でアクティビティが発生すると WorkDocs、そのアクティビティは CloudTrail イベント履歴の他の AWS サービスイベントとともにイベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「イベント履歴を含む CloudTrail イベントの表示」を参照してください。

Amazon のイベントなど、 AWS アカウント内のイベントの継続的な記録については WorkDocs、証跡を作成します。証跡により CloudTrail 、はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべてのリージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたイベントデータをさらに分析して対処するように、他の AWS サービスを設定できます。詳細については、以下を参照してください。

すべての Amazon WorkDocs アクションはによってログに記録 CloudTrail され、Amazon WorkDocs API リファレンスに記載されています。例えば、 DeactivateUserおよび UpdateDocumentセクションへの呼び出しはCreateFolder、 CloudTrail ログファイルにエントリを生成します。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:

リクエストがルート認証情報またはIAMユーザー認証情報を使用して行われたかどうか。
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
リクエストが別の AWS サービスによって行われたかどうか。

詳細については、「 CloudTrail userIdentity要素」を参照してください。

Amazon WorkDocs ログファイルエントリについて

証跡は、指定した Amazon S3 バケットへのログファイルとしてイベントを配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは、任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日付と時刻、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、特定の順序で表示されません。

Amazon は、コントロールプレーンからのエントリとデータプレーンからのエントリの異なるタイプの CloudTrail エントリ WorkDocs を生成します。この 2 つの重要な違いは、コントロールプレーンエントリのユーザー ID が IAM ユーザーであることです。データプレーンエントリのユーザー ID は Amazon WorkDocs ディレクトリユーザーです。

注記

セキュリティを強化するには、可能な限りユーザーではなくフェデレーティッドIAMユーザーを作成します。

パスワード、認証トークン、ファイルコメント、ファイルコンテンツなどの機密情報は、ログエントリには表示されません。これらは CloudTrail ログに HIDDEN_DUE_TO_SECURITY_REASONS として表示されます。これらは CloudTrail ログに HIDDEN_DUE_TO_SECURITY_REASONS として表示されます。

次の例は、Amazon の 2 つの CloudTrail ログエントリを示しています WorkDocs。最初のレコードはコントロールプレーンアクション用、2 番目のレコードはデータプレーンアクション用です。


{
  Records : [
    {
      "eventVersion" : "1.01",
      "userIdentity" :
      {
        "type" : "IAMUser",
        "principalId" : "user_id",
        "arn" : "user_arn",
        "accountId" : "account_id",
        "accessKeyId" : "access_key_id",
        "userName" : "user_name"
      },
      "eventTime" : "event_time",
      "eventSource" : "workdocs.amazonaws.com",
      "eventName" : "RemoveUserFromGroup",
      "awsRegion" : "region",
      "sourceIPAddress" : "ip_address",
      "userAgent" : "user_agent",
      "requestParameters" :
      {
        "directoryId" : "directory_id",
        "userSid" : "user_sid",
        "group" : "group"
      },
      "responseElements" : null,
      "requestID" : "request_id",
      "eventID" : "event_id"
    },
    {
      "eventVersion" : "1.01",
      "userIdentity" :
      {
        "type" : "Unknown",
        "principalId" : "user_id",
        "accountId" : "account_id",
        "userName" : "user_name"
      },
      "eventTime" : "event_time",
      "eventSource" : "workdocs.amazonaws.com",      
      "awsRegion" : "region",
      "sourceIPAddress" : "ip_address",
      "userAgent" : "user_agent",
      "requestParameters" :
      {
        "AuthenticationToken" : "**-redacted-**"
      },
      "responseElements" : null,
      "requestID" : "request_id",
      "eventID" : "event_id"
    }
  ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サイト全体のアクティビティフィードのエクスポート

コンプライアンス検証