翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した AWS アカウント管理 API コールのログ記録 AWS CloudTrail
AWS アカウント管理 APIs は、ユーザー AWS CloudTrail、ロール、またはアカウント管理オペレーションを呼び出す サービスによって実行されたアクションを記録する AWS サービスである と統合されています。CloudTrail は、すべてのアカウント管理 API コールをイベントとしてキャプチャします。キャプチャされたコールには、アカウント管理操作へのすべての呼び出しが含まれます。追跡を作成する場合、アカウント管理のイベントを含む Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの [Event history] (イベント履歴) で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、請求情報とコスト管理に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
CloudTrail の詳細については、AWS CloudTrail ユーザーガイドを参照してください。
CloudTrail でのアカウント管理情報
アカウントを作成する AWS アカウント と、 で CloudTrail がオンになります。アカウント管理オペレーションでアクティビティが発生すると、CloudTrail はそのアクティビティを CloudTrail イベントと他の AWS サービスイベントをイベント履歴に記録します。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、CloudTrail イベント履歴でのイベントの表示を参照してください。
アカウント管理オペレーションのイベントなど AWS アカウント、 のイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、 で証跡を作成すると AWS マネジメントコンソール、証跡はすべてに適用されます AWS リージョン。証跡は、 AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。CloudTrail ログで収集されたイベントデータをさらに分析して処理するように、他の AWS サービスを設定できます。詳細については、次を参照してください:
AWS CloudTrail は、このガイドの API リファレンスセクションにあるすべてのアカウント管理 API オペレーションを記録します。たとえば CreateAccount、DeleteAlternateContact、および PutAlternateContact の各オペレーションへのコールは、CloudTrail ログファイル内にエントリを生成します。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
-
リクエストがルートユーザーまたは AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか
-
リクエストが、IAM ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報によって行われたか
-
リクエストが別の AWS サービスによって行われたかどうか
詳細については、「CloudTrail userIdentity エレメント」を参照してください。
アカウント管理のログエントリについて
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルには、単一または複数のログエントリがあります。各イベントは任意の送信元からの単一のリクエストを表し、リクエストされたオペレーション、オペレーションの日時、リクエストパラメータなどに関する情報を含みます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
例 1: 次の例は、アカウントの現在の OPERATIONS 代替連絡先を取得する GetAlternateContact 操作の呼び出しを記録する CloudTrail ログエントリを示しています。操作によって返される値は、ログに記録される情報に含まれません。
例例 1
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn":"arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T19:25:53Z" } } }, "eventTime": "2021-04-30T19:26:15Z", "eventSource": "account.amazonaws.com", "eventName": "GetAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "alternateContactType": "SECURITY" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-111111111111", "eventID": "1a2b3c4d-5e6f-1234-abcd-222222222222", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
例 2: 次の例は、アカウントに新しい PutAlternateContact 代替連絡先を追加する BILLING 操作の呼び出しを記録する CloudTrail ログエントリを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn": "arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T18:33:00Z" } } }, "eventTime": "2021-04-30T18:33:08Z", "eventSource": "account.amazonaws.com", "eventName": "PutAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "name": "*Alejandro Rosalez*", "emailAddress": "alrosalez@example.com", "title": "CFO", "alternateContactType": "BILLING" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-333333333333", "eventID": "1a2b3c4d-5e6f-1234-abcd-444444444444", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
例 3: 次の例は、アカウントの現在の DeleteAlternateContact 代替連絡先を削除する OPERATIONS 操作の呼び出しを記録する CloudTrail ログエントリを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn":"arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T18:33:00Z" } } }, "eventTime": "2021-04-30T18:33:16Z", "eventSource": "account.amazonaws.com", "eventName": "DeleteAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "alternateContactType": "OPERATIONS" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-555555555555", "eventID": "1a2b3c4d-5e6f-1234-abcd-666666666666", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
