翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrail を使用した AWS アカウント管理 API コールのログ記録
AWS アカウント管理 API は AWS CloudTrail と統合され、このサービスはユーザー、ロール、または AWS アカウント管理操作を呼び出すサービスによってで実行されたアクションの記録を提供します。CloudTrail は、すべてのアカウント管理 API コールをイベントとしてキャプチャします。キャプチャされたコールには、アカウント管理操作へのすべての呼び出しが含まれます。追跡を作成する場合、アカウント管理のイベントを含む Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの [Event history] (イベント履歴) で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、請求情報とコスト管理に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
CloudTrail の詳細については、AWS CloudTrail ユーザーガイドを参照してください。
CloudTrail でのアカウント管理情報
CloudTrail は、アカウント作成時に AWS アカウント で有効になります。アカウント管理操作でアクティビティが発生すると、CloudTrail はそのアクティビティを、イベント履歴の AWS サービスのイベントと合わせて CloudTrail イベントに記録します。最近のイベントは、AWS アカウント で表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。
アカウント管理操作のイベントを含め、AWS アカウント 内でのイベントの継続的な記録については、追跡を作成します。追跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、AWS マネジメントコンソール で追跡を作成すると、すべての AWS リージョン に追跡が適用されます 追跡は、AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。AWS の他のサービスを設定して、CloudTrail ログで収集されたイベントデータをさらに分析し、それに基づく対応を行うことができます。詳細については、次を参照してください:
AWS CloudTrail は、このガイドの API リファレンスセクションに記載したすべてのアカウント管理 API 操作をログに記録します。たとえば CreateAccount、DeleteAlternateContact、および PutAlternateContact の各オペレーションへのコールは、CloudTrail ログファイル内にエントリを生成します。
各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
-
リクエストが、ルートユーザーまたは AWS Identity and Access Management (IAM) ユーザーのどちらの認証情報を使用して送信されたかどうか
-
リクエストが、IAM ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報によって行われたか
-
リクエストが、別の AWS のサービスによって送信されたかどうか
詳細については、「CloudTrail userIdentity 要素」を参照してください。
アカウント管理のログエントリについて
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルには、単一または複数のログエントリがあります。各イベントは任意の送信元からの単一のリクエストを表し、リクエストされたオペレーション、オペレーションの日時、リクエストパラメータなどに関する情報を含みます。CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序では表示されません。
例 1: 次の例は、アカウントの現在の OPERATIONS 代替連絡先を取得する GetAlternateContact 操作の呼び出しを記録する CloudTrail ログエントリを示しています。操作によって返される値は、ログに記録される情報に含まれません。
例 1
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn":"arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T19:25:53Z" } } }, "eventTime": "2021-04-30T19:26:15Z", "eventSource": "account.amazonaws.com", "eventName": "GetAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "alternateContactType": "SECURITY" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-111111111111", "eventID": "1a2b3c4d-5e6f-1234-abcd-222222222222", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
例 2: 次の例は、アカウントに新しい PutAlternateContact 代替連絡先を追加する BILLING 操作の呼び出しを記録する CloudTrail ログエントリを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn": "arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T18:33:00Z" } } }, "eventTime": "2021-04-30T18:33:08Z", "eventSource": "account.amazonaws.com", "eventName": "PutAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "name": "*Alejandro Rosalez*", "emailAddress": "alrosalez@example.com", "title": "CFO", "alternateContactType": "BILLING" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-333333333333", "eventID": "1a2b3c4d-5e6f-1234-abcd-444444444444", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
例 3: 次の例は、アカウントの現在の DeleteAlternateContact 代替連絡先を削除する OPERATIONS 操作の呼び出しを記録する CloudTrail ログエントリを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn":"arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T18:33:00Z" } } }, "eventTime": "2021-04-30T18:33:16Z", "eventSource": "account.amazonaws.com", "eventName": "DeleteAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "alternateContactType": "OPERATIONS" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-555555555555", "eventID": "1a2b3c4d-5e6f-1234-abcd-666666666666", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
