CloudTrail のコンセプト - AWS CloudTrail
CloudTrail のイベントイベント履歴追跡組織の証跡CloudTrail Lake とイベントデータストアCloudTrail InsightsタグAWS Security Token Service および CloudTrailグローバルサービスイベント

CloudTrail のコンセプト

このセクションでは、CloudTrail に関連する概念について簡単に説明します。

CloudTrail のイベント

CloudTrail イベントは、AWS アカウントのアクティビティのレコードです。このアクティビティは、IAM アイデンティティによるアクション、または CloudTrail が監視するサービスです。CloudTrail イベントは、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、およびその他の AWS のサービスを通じて行われた API アカウントアクティビティおよび API 以外のアカウントアクティビティの両方の履歴を提供します。

CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。

CloudTrail は 4 種類のイベントをログに記録します。

すべてのイベントタイプで、CloudTrail JSON ログ形式が使用されます。

デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。

CloudTrail と AWS のサービスの統合の詳細については、「AWSCloudTrail の サービストピック」を参照してください。

管理イベント

管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての情報が得られます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。

管理イベントには、次のようなものがあります。

  • セキュリティグループの設定 (例: AWS Identity and Access Management AttachRolePolicy API オペレーション)。

  • デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション)。

  • データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション)。

  • ログ記録の設定 (例: AWS CloudTrail CreateTrail API オペレーション)。

管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。

デフォルトでは、CloudTrail 証跡と CloudTrail Lake イベントデータはログ管理イベントを保存します。管理イベントのログ記録に関する詳細については、「管理イベントのログ記録」を参照してください。

データイベント

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。

データイベントには、次のようなものがあります。

証跡およびイベントデータストアで使用できるリソースタイプは、以下の表のとおりです。[リソースタイプ (コンソール)] 列には、コンソールで適切な選択項目が表示されます。[resources.type 値] 列には、AWS CLI または CloudTrail API の証跡またはイベントデータストアで含めるように指定するデータイベントのタイプである resources.type 値が表示されます。

証跡の場合、ベーシックまたは高度なイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) の Amazon S3 オブジェクトのデータイベントのログを記録することができます。残りの行に表示されるリソースタイプをログに記録するには、高度なイベントセレクタのみを使用できます。

イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。

AWS CloudTrail でサポートされるデータイベント

AWS のサービス 説明 リソースタイプ (コンソール) resources.type 値
Amazon RDS

DB クラスターでの Amazon RDS API アクティビティ

 RDS Data API – DB クラスター AWS::RDS::DBCluster
Amazon S3

汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObjectDeleteObjectPutObject API オペレーション)。

 S3 AWS::S3::Object
Simple Storage Service (Amazon S3)

アクセスポイントでの Amazon S3 API アクティビティ

 S3 アクセスポイント AWS::S3::AccessPoint
Amazon S3

ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObjectDeleteObjectPutObject API オペレーション)。

 S3 Express AWS::S3Express::Object
Amazon S3

CompleteMultipartUpload および GetObject への呼び出しなどの Amazon S3 Object Lambda アクセスポイント API アクティビティ

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3

ボリュームに関する Amazon FSx API アクティビティ。

 FSx ボリューム AWS::FSx::Volume
Amazon S3 Tables

テーブルに関する Amazon S3 API アクティビティ。

 S3 テーブル AWS::S3Tables::Table
Amazon S3 Tables

テーブルバケットに関する Amazon S3 API アクティビティ。

 S3 テーブルバケット AWS::S3Tables::TableBucket
Amazon S3 Vectors

ベクトルバケットに関する Amazon S3 API アクティビティ。

 S3 ベクトルバケット AWS::S3Vectors::VectorBucket
Amazon S3 Vectors

ベクトルインデックスに関する Amazon S3 API アクティビティ。

 S3 ベクトルインデックス AWS::S3Vectors::Index
Amazon S3 on Outposts

Amazon S3 on Outposts オブジェクトレベル API アクティビティ

 S3 Outposts AWS::S3Outposts::Object
Amazon SNS

プラットフォームエンドポイントでの Amazon SNS Publish API オペレーション。

 SNS プラットフォームエンドポイント AWS::SNS::PlatformEndpoint
Amazon SNS

トピックに関する Amazon SNS Publish および PublishBatch API オペレーション。

 SNS トピック AWS::SNS::Topic
Amazon SQS

メッセージでの Amazon SQS API アクティビティ

 SQS AWS::SQS::Queue
AWS Supply Chain

インスタンス上の AWS Supply Chain API アクティビティ。

 Supply Chain AWS::SCN::Instance
Amazon SWF 

ドメインでの Amazon SWF API アクティビティ

 SWF ドメイン AWS::SWF::Domain
AWS AppConfig

StartConfigurationSessionGetLatestConfiguration への呼び出しなど、設定オペレーション向けの AWS AppConfig API アクティビティ

 AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AppSync GraphQL API に関する AWS AppSync API アクティビティ

 AppSync GraphQL AWS::AppSync::GraphQLApi
Amazon Aurora DSQL

クラスターリソースに関する Amazon Aurora DSQL API アクティビティ。

 Amazon Aurora DSQL AWS::DSQL::Cluster
AWS B2B Data Interchange

GetTransformerJob および StartTransformerJob の呼び出しなど、Transformer 操作用の B2B データ交換 API アクティビティ。

 B2B データ交換 AWS::B2BI::Transformer
AWS Backup

検索ジョブに関する AWS Backup Search Data API アクティビティ。

 AWS Backup データ API の検索 AWS::Backup::SearchJob
Amazon Bedrock エージェントエイリアスでの Amazon Bedrock API アクティビティ Bedrock エージェントエイリアス AWS::Bedrock::AgentAlias
Amazon Bedrock 非同期呼び出しに関する Amazon Bedrock API アクティビティ。 Bedrock 非同期呼び出し AWS::Bedrock::AsyncInvoke
Amazon Bedrock フローエイリアスでの Amazon Bedrock API アクティビティ。 Bedrock フローエイリアス AWS::Bedrock::FlowAlias
Amazon Bedrock ガードレールでの Amazon Bedrock API アクティビティ。 Bedrock ガードレール AWS::Bedrock::Guardrail
Amazon Bedrock インラインエージェントに関する Amazon Bedrock API アクティビティ。 Bedrock 呼び出しインラインエージェント AWS::Bedrock::InlineAgent
Amazon Bedrock ナレッジベースでの Amazon Bedrock API アクティビティ Bedrock ナレッジベース AWS::Bedrock::KnowledgeBase
Amazon Bedrock モデルでの Amazon Bedrock API アクティビティ。 Bedrock モデル AWS::Bedrock::Model
Amazon Bedrock プロンプトに関する Amazon Bedrock API アクティビティ。 Bedrock プロンプト AWS::Bedrock::PromptVersion
Amazon Bedrock セッションに関する Amazon Bedrock API アクティビティ。 Bedrock セッション AWS::Bedrock::Session
Amazon Bedrock

フロー実行に関する Amazon Bedrock API アクティビティ。

 Bedrock フロー実行 AWS::Bedrock::FlowExecution
Amazon Bedrock

自動推論ポリシーに関する Amazon Bedrock API アクティビティ。

 Bedrock 自動推論ポリシー AWS::Bedrock::AutomatedReasoningPolicy
Amazon Bedrock

自動推論ポリシーバージョンに関する Amazon Bedrock API アクティビティ。

 Bedrock 自動推論ポリシーバージョン AWS::Bedrock::AutomatedReasoningPolicyVersion

Amazon Bedrock

Amazon Bedrock データ自動化プロジェクト API アクティビティ。

Bedrock データ自動化プロジェクト

AWS::Bedrock::DataAutomationProject

Amazon Bedrock

Bedrock データ自動化呼び出し API アクティビティ。

Bedrock データ自動化呼び出し

AWS::Bedrock::DataAutomationInvocation

Amazon Bedrock

Amazon Bedrock データ自動化プロファイル API アクティビティ。

Bedrock データ自動化プロファイル

AWS::Bedrock::DataAutomationProfile

Amazon Bedrock

Amazon Bedrock ブループリント API アクティビティ。

Bedrock ブループリント

AWS::Bedrock::Blueprint

Amazon Bedrock

Amazon Bedrock Code-Interpreter API アクティビティ。

Bedrock-AgentCore Code Interpreter

AWS::BedrockAgentCore::CodeInterpreter

Amazon Bedrock

Amazon Bedrock Browser API アクティビティ。

Bedrock-AgentCore Browser

AWS::BedrockAgentCore::Browser

Amazon Bedrock

Amazon Bedrock ワークロードアイデンティティ API アクティビティ。

Bedrock-AgentCore ワークロード ID

AWS::BedrockAgentCore::WorkloadIdentity

Amazon Bedrock

Amazon Bedrock ワークロードアイデンティティディレクトリ API アクティビティ。

Bedrock-AgentCore ワークロード ID ディレクトリ

AWS::BedrockAgentCore::WorkloadIdentityDirectory

Amazon Bedrock

Amazon Bedrock トークンボールト API アクティビティ。

Bedrock-AgentCore トークンボールト

AWS::BedrockAgentCore::TokenVault

Amazon Bedrock

Amazon Bedrock APIKey CredentialProvider API アクティビティ。

Bedrock-AgentCore APIKey CredentialProvider

AWS::BedrockAgentCore::APIKeyCredentialProvider

Amazon Bedrock

Amazon Bedrock ランタイム API アクティビティ。

Bedrock-AgentCore Runtime

AWS::BedrockAgentCore::Runtime

Amazon Bedrock

Amazon Bedrock Runtime-Endpoint API アクティビティ。

Bedrock-AgentCore Runtime-Endpoint

AWS::BedrockAgentCore::RuntimeEndpoint

Amazon Bedrock

Amazon Bedrock Gateway API アクティビティ。

Bedrock-AgentCore ゲートウェイ

AWS::BedrockAgentCore::Gateway

Amazon Bedrock

Amazon Bedrock Memory API アクティビティ。

Bedrock-AgentCore Memory

AWS::BedrockAgentCore::Memory

Amazon Bedrock

Amazon Bedrock Oauth2 CredentialProvider API アクティビティ。

Bedrock-AgentCore Oauth2 CredentialProvider

AWS::BedrockAgentCore::OAuth2CredentialProvider

Amazon Bedrock

Amazon Bedrock Browser-Custom API アクティビティ。

Bedrock-AgentCore Browser-Custom

AWS::BedrockAgentCore::BrowserCustom

Amazon Bedrock

Amazon Bedrock Code-Interpreter-Custom API アクティビティ。

Bedrock-AgentCore Code-Interpreter-Custom

AWS::BedrockAgentCore::CodeInterpreterCustom
Amazon Bedrock

Amazon Bedrock Tool API アクティビティ。

 Bedrock ツール AWS::Bedrock::Tool
AWS Cloud Map 名前空間での AWS Cloud Map API アクティビティ AWS Cloud Map 名前空間 AWS::ServiceDiscovery::Namespace
AWS Cloud Map サービスでの AWS Cloud Map API アクティビティ AWS Cloud Map のサービス AWS::ServiceDiscovery::Service
Amazon CloudFront

での CloudFront API アクティビティ。。KeyValueStore

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS CloudTrail

外部からの AWS イベントをログに記録するために使用される CloudTrail Lake チャネル での CloudTrail PutAuditEvents アクティビティ。

 CloudTrail チャネル AWS::CloudTrail::Channel
Amazon CloudWatch

メトリクスに対する Amazon CloudWatch API アクティビティ

 CloudWatch メトリクス AWS::CloudWatch::Metric
Amazon CloudWatch Network Flow Monitor

モニターに関する Amazon CloudWatch Network Flow Monitor API アクティビティ。

 Network Flow Monitor モニター AWS::NetworkFlowMonitor::Monitor
Amazon CloudWatch Network Flow Monitor

範囲に関する Amazon CloudWatch Network Flow Monitor API アクティビティ。

 Network Flow Monitor の範囲 AWS::NetworkFlowMonitor::Scope
Amazon CloudWatch RUM

アプリモニターでの Amazon CloudWatch RUM API アクティビティ。

 RUM アプリモニター AWS::RUM::AppMonitor
Amazon CodeGuru Profiler プロファイリンググループに関する CodeGuru Profiler API アクティビティ。 CodeGuru Profiler プロファイリンググループ AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer カスタマイズでの Amazon CodeWhisperer API アクティビティ。 CodeWhisperer のカスタマイズ AWS::CodeWhisperer::Customization
Amazon CodeWhisperer プロファイル上の Amazon CodeWhisperer API アクティビティ。 CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。

 Cognito アイデンティティプール AWS::Cognito::IdentityPool
AWS Data Exchange

アセットに対する AWS Data Exchange API アクティビティ。

Data Exchange アセット

AWS::DataExchange::Asset

Amazon Data Firehose

Amazon Data Firehose 配信ストリーム API アクティビティ。

Amazon Data Firehose

AWS::KinesisFirehose::DeliveryStream
AWS Deadline Cloud

フリートでの Deadline Cloud API アクティビティ。

Deadline Cloud フリート

AWS::Deadline::Fleet
AWS Deadline Cloud

ジョブでの Deadline Cloud API アクティビティ。

Deadline Cloud ジョブ

AWS::Deadline::Job
AWS Deadline Cloud

キューでの Deadline Cloud API アクティビティ。

Deadline Cloud キュー

AWS::Deadline::Queue
AWS Deadline Cloud

ワーカーに対する Deadline Cloud API アクティビティ。

Deadline Cloud ワーカー

AWS::Deadline::Worker
Amazon DynamoDB

テーブルでの Amazon DynamoDB アイテムレベルの API アクティビティ (例: PutItemDeleteItem、および UpdateItem API オペレーション)。

注記

ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するには、eventName フィールドにフィルタを追加します。

 DynamoDB

AWS::DynamoDB::Table
Amazon DynamoDB

ストリームに対する Amazon DynamoDB API アクティビティ

 DynamoDB Streams AWS::DynamoDB::Stream
Amazon Elastic Block Store

Amazon EBS スナップショットの PutSnapshotBlockGetSnapshotBlock、および ListChangedBlocks などの Amazon Elastic Block Store (EBS) ダイレクト API。

 Amazon EBS ダイレクト API AWS::EC2::Snapshot

Amazon Elastic Compute Cloud

Amazon EC2 Instance Connect エンドポイント API アクティビティ。

EC2 instance connect エンドポイント

AWS::EC2::InstanceConnectEndpoint
Amazon Elastic Container Service

コンテナインスタンスに関する Amazon Elastic Container Service API アクティビティ。

 ECS コンテナインスタンス AWS::ECS::ContainerInstance
Amazon Elastic Kubernetes Service

ダッシュボードに関する Amazon Elastic Kubernetes Service API アクティビティ。

 Amazon Elastic Kubernetes Service ダッシュボード AWS::EKS::Dashboard
Amazon EMR ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ EMR ログ先行書き込みワークスペース AWS::EMRWAL::Workspace
AWS エンドユーザーメッセージング SMS 発信元 ID に対する AWS エンドユーザーメッセージング SMS API アクティビティ。 SMS Voice 発信元 ID AWS::SMSVoice::OriginationIdentity
AWS エンドユーザーメッセージング SMS メッセージに関する AWS エンドユーザーメッセージング SMS API アクティビティ。 SMS Voice メッセージ AWS::SMSVoice::Message
AWS エンドユーザー メッセージング ソーシャル 電話番号 ID での AWS エンドユーザーメッセージングソーシャル API アクティビティ。 ソーシャルメッセージ電話番号 ID AWS::SocialMessaging::PhoneNumberId
AWS エンドユーザー メッセージング ソーシャル Waba ID に関する AWS エンドユーザーメッセージングソーシャル API アクティビティ。 ソーシャルメッセージング Waba ID AWS::SocialMessaging::WabaId
Amazon FinSpace

環境に対する Amazon FinSpace API アクティビティ。

 FinSpace AWS::FinSpace::Environment
Amazon GameLift Streams

アプリケーションに関する Amazon GameLift Streams ストリーミング API アクティビティ

 GameLift Streams アプリケーション AWS::GameLiftStreams::Application
Amazon GameLift Streams

ストリームグループに関する Amazon GameLift Streams ストリーミング API アクティビティ

 GameLift Streams ストリームグループ AWS::GameLiftStreams::StreamGroup
AWS Glue

Lake Formation によって作成されたテーブルに対する AWS Glue API アクティビティ。

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

検出器 に対する Amazon GuardDuty API アクティビティ。

 GuardDuty ディテクター AWS::GuardDuty::Detector
AWS HealthImaging

データストアでの AWS HealthImaging API アクティビティ

 医療用画像データストア AWS::MedicalImaging::Datastore

AWS HealthImaging

AWS HealthImaging イメージセット API アクティビティ。

MedicalImaging イメージセット

AWS::MedicalImaging::Imageset
AWS IoT

証明書に対する AWS IoT API アクティビティ

 IoT 証明書 AWS::IoT::Certificate
AWS IoT

モノに対する AWS IoT API アクティビティ。

 IoT モノ AWS::IoT::Thing
AWS IoT Greengrass Version 2

コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ

注記

Greengrass はアクセス拒否イベントのログを記録しません。

 IoT Greengrass コンポーネントバージョン AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ

注記

Greengrass はアクセス拒否イベントのログを記録しません。

 IoT Greengrass デプロイ AWS::GreengrassV2::Deployment
AWS IoT SiteWise

アセット上の IoT SiteWise API アクティビティ

 IoT SiteWise アセット AWS::IoTSiteWise::Asset
AWS IoT SiteWise

時系列上の IoT SiteWise API アクティビティ

 IoT SiteWise 時系列 AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise Assistant

会話に関する Sitewise Assistant API アクティビティ。

 Sitewise Assistant の会話 AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

エンティティ上の IoT TwinMaker API アクティビティ。

 IoT TwinMaker エンティティ AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

ワークスペース上の IoT TwinMaker API アクティビティ。

 IoT TwinMaker ワークスペース AWS::IoTTwinMaker::Workspace
Amazon Kendra インテリジェントランキング

リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。

 Kendra ランキング AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (Apache Cassandra 向け) テーブル上の Amazon Keyspaces API アクティビティ Cassandra テーブル AWS::Cassandra::Table
Amazon Keyspaces (Apache Cassandra 向け)

Cassandra CDC ストリームに関する Amazon Keyspaces (Apache Cassandra 向け) API アクティビティ。

 Cassandra CDC ストリーム AWS::Cassandra::Stream
Amazon Kinesis Data Streams ストリーム 上の Kinesis Data Streams API アクティビティ。 Kinesis ストリーム AWS::Kinesis::Stream
Amazon Kinesis Data Streams ストリームコンシューマー上の Kinesis Data Streams API アクティビティ。 Kinesis ストリームコンシューマー AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams GetMediaPutMedia への呼び出しなど、ビデオストリーム上の Amazon Kinesis API アクティビティ。 Kinesis ビデオストリーム AWS::KinesisVideo::Stream

Amazon Kinesis Video Streams

Kinesis Video Streams ビデオシグナリングチャネル API アクティビティ。

Kinesis ビデオシグナリングチャネル

AWS::KinesisVideo::SignalingChannel
AWS Lambda

AWS Lambda 関数の実行アクティビティ (Invoke API)。

 Lambda: AWS::Lambda::Function
Amazon Location Maps Amazon Location Maps API アクティビティ。 ジオマップ AWS::GeoMaps::Provider
Amazon Location の場所 Amazon Location Places API アクティビティ。 ジオプレイス AWS::GeoPlaces::Provider
Amazon Location Routes Amazon Location Routes API アクティビティ。 ジオルート AWS::GeoRoutes::Provider
Amazon Machine Learning ML モデルの機械学習 API アクティビティ。 機械学習 MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

ネットワーク上の Amazon Managed Blockchain API アクティビティ。

 Managed Blockchain ネットワーク AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

eth_getBalanceeth_getBlockByNumber などの Ethereum ノードに対する Amazon Managed Blockchain JSON-RPC コール。

 Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Managed Blockchain Query

Amazon Managed Blockchain Query API アクティビティ。

 Managed Blockchain Query AWS::ManagedBlockchainQuery::QueryAPI
Amazon Managed Workflows for Apache Airflow

環境に関する Amazon MWAA API アクティビティ。

 マネージド Apache Airflow AWS::MWAA::Environment
Amazon Neptune Graph

Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。

 Neptune Graph AWS::NeptuneGraph::Graph
Amazon One Enterprise

UKey の Amazon One Enterprise API アクティビティ。

 Amazon One UKey AWS::One::UKey
Amazon One Enterprise

ユーザーの Amazon One Enterprise API アクティビティ。

 Amazon One User AWS::One::User
AWS Payment Cryptography エイリアスの AWS Payment Cryptography API アクティビティ。 Payment Cryptography Alias AWS::PaymentCryptography::Alias
AWS Payment Cryptography キーに対する AWS Payment Cryptography API アクティビティ。 Payment Cryptography Key AWS::PaymentCryptography::Key
Amazon Pinpoint

モバイルターゲティングアプリケーションに関する Amazon Pinpoint API アクティビティ。

 モバイルターゲティングアプリケーション AWS::Pinpoint::App
AWS Private CA

AWS Private CA Connector for Active Directory API のアクティビティ。

 AWS Private CA Connector for Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

SCEP API アクティビティの AWS Private CA コネクタ。

 AWS Private CA Connector for SCEP AWS::PCAConnectorSCEP::Connector
Amazon Q Apps

Amazon Q Apps の Data API アクティビティ。

 Amazon Q Apps AWS::QApps::QApp
Amazon Q Apps

Amazon Q Apps セッションに関する Data API アクティビティ。

 Amazon Q Apps セッション AWS::QApps::QAppSession
Amazon Q Business

アプリケーション上の Amazon Q Business API アクティビティ

 Amazon Q Business アプリケーション AWS::QBusiness::Application
Amazon Q Business

データソース上の Amazon Q Business API アクティビティ

 Amazon Q Business データソース AWS::QBusiness::DataSource
Amazon Q Business

インデックスでの Amazon Q Business API アクティビティ

 Amazon Q Business インデックス AWS::QBusiness::Index
Amazon Q Business

ウェブエクスペリエンスでの Amazon Q Business API アクティビティ

 Amazon Q Business ウェブエクスペリエンス AWS::QBusiness::WebExperience

Amazon Q Business

Amazon Q Business 統合 API アクティビティ。

Amazon Q Business 統合

AWS::QBusiness::Integration
Amazon Q Developer

統合に関する Amazon Q Developer API アクティビティ。

 Q Developer 統合 AWS::QDeveloper::Integration
Amazon Q Developer

運用調査に関する Amazon Q Developer API アクティビティ

 AIOps 調査グループ AWS::AIOps::InvestigationGroup
Amazon Quick Suite

アクションコネクタに関する Amazon Quick Suite API アクティビティ。

 AWS QuickSuite アクション AWS::Quicksight::ActionConnector

Amazon Quick Suite

Amazon Quick Suite Flow API アクティビティ。

AWS::QuickSight::Flow

AWS::QuickSight::Flow

Amazon Quick Suite

Amazon Quick Suite FlowSession API アクティビティ。

AWS::QuickSight::FlowSession

AWS::QuickSight::FlowSession
Amazon SageMaker AI エンドポイントに関する Amazon SageMaker AI InvokeEndpointWithResponseStream アクティビティ。 SageMaker AI エンドポイント AWS::SageMaker::Endpoint
Amazon SageMaker AI

特徴量ストアに関する Amazon SageMaker AI アクティビティ。

 SageMaker AI 特徴量ストア AWS::SageMaker::FeatureGroup
Amazon SageMaker AI

実験トライアルコンポーネントに関する Amazon SageMaker AI API アクティビティ。

 SageMaker AI メトリクス実験トライアルコンポーネント AWS::SageMaker::ExperimentTrialComponent

Amazon SageMaker AI;

Amazon SageMaker AI MLflow API アクティビティ。

SageMaker MLflow

AWS::SageMaker::MlflowTrackingServer
AWS Signer

署名ジョブに関する Signer API アクティビティ。

 Signer 署名ジョブ AWS::Signer::SigningJob
AWS Signer

署名プロファイルに関する Signer API アクティビティ。

 Signer 署名プロファイル AWS::Signer::SigningProfile
Amazon Simple Email Service

設定セットに関する Amazon Simple Email Service (Amazon SES) API アクティビティ。

 SES 設定セット AWS::SES::ConfigurationSet
Amazon Simple Email Service

E メール ID に関する Amazon Simple Email Service (Amazon SES) API アクティビティ。

 SES ID AWS::SES::EmailIdentity
Amazon Simple Email Service

テンプレートに関する Amazon Simple Email Service (Amazon SES) API アクティビティ。

 SES テンプレート AWS::SES::Template
Amazon SimpleDB

ドメインに関する Amazon SimpleDB API アクティビティ。

 SimpleDB ドメイン AWS::SDB::Domain
AWS Step Functions

アクティビティに関する Step Functions API アクティビティ

 Step Functions AWS::StepFunctions::Activity
AWS Step Functions

ステートマシンに関する Step Functions API アクティビティ

 Step Functions ステートマシン AWS::StepFunctions::StateMachine
AWS Systems Manager コントロールチャネルでの Systems Manager API アクティビティ Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager 影響評価に関する Systems Manager API アクティビティ。 SSM 影響評価 AWS::SSM::ExecutionPreview
AWS Systems Manager マネージドノードでの Systems Manager API アクティビティ Systems Manager マネージドノード AWS::SSM::ManagedNode
Amazon Timestream データベース上の Amazon Timestream Query API アクティビティ。 Timestream データベース AWS::Timestream::Database
Amazon Timestream リージョナルエンドポイントに関する Amazon Timestream API アクティビティ。 Timestream リージョナルエンドポイント AWS::Timestream::RegionalEndpoint
Amazon Timestream テーブル上の Amazon Timestream Query API アクティビティ。 Timestream テーブル AWS::Timestream::Table
Amazon Verified Permissions

ポリシーストア上の Amazon Verified Permissions API アクティビティ。

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces シンクライアント デバイスでの WorkSpaces シンクライアント API アクティビティ。 シンクライアントデバイス AWS::ThinClient::Device
Amazon WorkSpaces シンクライアント 環境上の WorkSpaces シンクライアント API アクティビティ。 シンクライアント環境 AWS::ThinClient::Environment
AWS X-Ray

トレース での X-Ray API アクティビティ

 X-Ray トレース AWS::XRay::Trace

証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。CloudTrail データイベントを記録するには、アクティビティを収集する各リソースタイプを明示的に追加する必要があります。データイベントのログ記録の詳細については、「データイベントをログ記録する」を参照してください。

データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

ネットワークアクティビティイベント

CloudTrail ネットワークアクティビティイベントにより、VPC エンドポイント所有者は、プライベート VPC から AWS のサービスへの VPC エンドポイントを使用して行われた AWS API コールを記録できます。ネットワークアクティビティイベントでは、VPC 内で実行されたリソースオペレーションについて知ることができます。

次のサービスのネットワークアクティビティイベントを記録できます。

  • AWS AppConfig

  • AWS App Mesh

  • Amazon Athena

  • AWS B2B Data Interchange

  • AWS Backup gateway

  • Amazon Bedrock

  • 請求情報とコスト管理

  • AWS 料金見積りツール

  • AWS Cost Explorer

  • AWS クラウドコントロール API

  • AWS CloudHSM

  • AWS Cloud Map

  • AWS CloudFormation

  • AWS CloudTrail

  • Amazon CloudWatch

  • CloudWatch Application Signals

  • AWS CodeDeploy

  • Amazon Comprehend Medical

  • AWS Config

  • AWS Data Exports

  • Amazon Data Firehose

  • AWS Directory Service

  • Amazon DynamoDB

  • Amazon EC2

  • Amazon Elastic Container Service

  • Amazon Elastic File System

  • Elastic Load Balancing

  • Amazon EventBridge

  • Amazon EventBridge スケジューラ

  • Amazon Fraud Detector

  • AWS 無料利用枠

  • Amazon FSx

  • AWS Glue

  • AWS HealthLake

  • AWS IoT FleetWise

  • AWS IoT Secure Tunneling

  • AWS Invoicing

  • Amazon Keyspaces (Apache Cassandra 向け)

  • AWS KMS

  • AWS Lake Formation

  • AWS Lambda

  • AWS License Manager

  • Amazon Lookout for Equipment

  • Amazon Lookout for Vision

  • Amazon Personalize

  • Amazon Q Business

  • Amazon Rekognition

  • Amazon Relational Database Service

  • Amazon S3

    注記

    Amazon S3 マルチリージョンアクセスポイントはサポートされていません。

  • Amazon SageMaker AI

  • AWS Secrets Manager

  • Amazon Simple Notification Service

  • Amazon Simple Queue Service

  • Amazon Simple Workflow Service

  • AWS Storage Gateway

  • AWS Systems Manager Incident Manager

  • Amazon Textract

  • Amazon Transcribe

  • Amazon Translate

  • AWS Transform

  • Amazon Verified Permissions

  • Amazon WorkMail

証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。

ネットワークアクティビティイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

Insights イベント

CloudTrail Insights イベントは、CloudTrail の管理アクティビティを分析し、AWS アカウントの異常な API コール率やエラー率のアクティビティをキャプチャします。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。CloudTrail の証跡あるいはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、CloudTrail がアカウントの API 使用量またはエラー率のログ記録において通常の使用パターンとは大きく異なる変更を検出した場合にのみログ記録されます。詳細については、「CloudTrail Insights の使用」を参照してください。

Insights イベントを生成する可能性のあるアクティビティの例を次に示します。

  • 通常、アカウントは Amazon S3 deleteBucket API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個の deleteBucket API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

  • 通常、アカウントは Amazon EC2 AuthorizeSecurityGroupIngress API のコールを 1 分あたり 20 個を記録しますが、アカウントは AuthorizeSecurityGroupIngress へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

  • 通常は、アカウントで AWS Identity and Access Management API DeleteInstanceProfile に関する AccessDeniedException エラーのログ記録が 7 日間に 1 つもありません。アカウントが DeleteInstanceProfile API コールで 1 分あたり平均 12 AccessDeniedException エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

CloudTrail Insights イベントをログ記録するには、新規または既存の証跡もしくはイベントデータストアにおいて、Insights イベントを明示的に有効化する必要があります。証跡の作成方法の詳細については、「CloudTrail コンソールで証跡を作成する」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、AWS CloudTrail の料金を参照してください。

イベント履歴

CloudTrail イベント履歴は、AWS リージョン における過去 90 日間の CloudTrail 管理 イベントの表示、検索、ダウンロード可能、および不変な記録を提供します。この履歴を使用して、AWS、AWS マネジメントコンソール SDK、コマンドラインツール、およびその他の AWS のサービスの AWS アカウントで実行されたアクションの可視性を得ることができます。CloudTrail コンソールでイベント履歴の表示をカスタマイズするには、表示する列を選択します。詳細については、「CloudTrail イベント履歴の操作」を参照してください。

追跡

証跡とは、Amazon S3 バケット、およびオプションで CloudWatch Logs および Amazon EventBridge に CloudTrail イベントを配信できるようにするための設定です。証跡を使用して、配信する CloudTrail イベントの選択、AWS KMS キーを使用した CloudTrail イベントログファイルの暗号化、ログファイル配信のための Amazon SNS 通知の設定を行うことができます。証跡の作成と管理の詳細については、「AWS アカウント の証跡の作成」を参照してください。

マルチリージョン証拠と単一リージョン証跡

AWS アカウントのマルチリージョンとシングルリージョンの両方の証跡を作成できます。

マルチリージョン証跡

マルチリージョン証跡を作成すると、CloudTrail は AWS アカウント 内のすべての有効になっている AWS リージョン についてイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。ベストプラクティスとして、マルチリージョン証跡を作成することをお勧めします。マルチリージョン証跡は、すべての有効になっているリージョンのアクティビティをキャプチャするからです。CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョン証跡になります。AWS CLI を使用することで、単一リージョンをマルチリージョンの証跡へと変換することができます。詳細についてはマルチリージョン証跡とオプトインリージョンを理解するコンソールでの証跡の作成、および単一リージョンの証跡からマルチリージョンの証跡への変換を参照してください。

単一リージョンの証跡

単一リージョンの証跡を作成すると、CloudTrail はそのリージョンにのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが渡されます。AWS CLI を使用する際は、単一のリージョンの証跡のみを作成することができます。追加で単一の証跡を作成した場合、同じ S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「AWS CLI で証跡を作成、更新、管理する 」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

マルチリージョン証跡には以下の利点があります。

  • 証跡の設定が、すべての有効になっている AWS リージョン で一貫性を持って適用されます。

  • すべての有効になっている AWS リージョン からの CloudTrail イベントを、1 つの Amazon S3 バケットで受信できます。またオプションで、CloudWatch Logs ロググループでも受信できます。

  • すべての有効になっている AWS リージョン の証跡設定を 1 つの場所から管理できます。

マルチリージョン証跡を作成すると、次の効果があります。

  • CloudTrail は、すべての有効になっている AWS リージョン からのアカウントアクティビティのログファイルを、ユーザーが指定した 1 つの Amazon S3 バケットに配信します。オプションで指定された場合は、CloudWatch Logs ロググループにも配信します。

  • 証跡用の Amazon SNS トピックを設定した場合は、すべての有効になっている AWS リージョン のログファイル配信に関する SNS 通知が、1 つの SNS トピックに送信されます。

  • マルチリージョン証跡は、すべての有効になっている AWS リージョン で確認できますが、変更できる場所は、その証跡が作成されたホームリージョンのみです。

証跡がマルチリージョンかシングルリージョンかにかかわらず、Amazon EventBridge に送信されたイベントは、単一のイベントバスではなく、各リージョンのイベントバスで受信されます。

1 リージョンに対する複数の証跡

デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。

CloudTrail では、リージョンごとに 5 つの証跡がサポートされます。マルチリージョン証跡は、リージョンごとに 1 つの証跡としてカウントされます。

次に示すのは、1 つのリージョンに 5 つの証跡を使用する場合の例です。

  • 米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。

  • 米国西部 (北カリフォルニア) リージョンに適用される証跡をさらに 2 つ作成します。

  • アジアパシフィック (シドニー) リージョンに別のマルチリージョン証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。

CloudTrail コンソールの [証拠] ページに、AWS リージョンの証跡リストを表示できます。詳細については、「CloudTrail コンソールで証跡を更新する」を参照してください。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

組織の証跡

組織の証跡とは、AWS Organizations 組織内の管理アカウントとすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、CloudWatch Logs、Amazon EventBridge に配信できるようにする設定です。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。

コンソールを使用して作成されたすべての組織の証跡は、組織内の各メンバーアカウントで有効になっている AWS リージョンからのイベントをログに記録するマルチリージョンの組織証跡です。組織内のすべての AWS パーティションで、イベントのログ記録を行うには、各パーティションに対してマルチリージョンの組織証跡を作成します。AWS CLI を使用して、単一リージョンまたはマルチリージョンの組織証跡を作成できます。単一リージョンの証跡を作成する場合は、証跡の AWS リージョン (ホームリージョンとも呼ばれる) 内のアクティビティのみがログに記録されます。

ほとんどの AWS リージョンは AWS アカウントでデフォルトで有効になっていますが、一部のリージョン (オプトインリージョンとも呼ばれる) は手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、「AWS アカウント管理 Reference Guide」の「Considerations before enabling and disabling Regions」を参照してください。CloudTrail がサポートするリージョンのリストについては、「CloudTrail がサポートされているリージョン」を参照してください。

組織の証跡を作成すると、指定した名前の証跡のコピーが組織に属するすべてのアカウントに作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトインリージョンではない場合、各メンバーアカウントの組織証跡のホームリージョン内に証跡のコピーが作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトインリージョンである場合、そのリージョンを有効にしたメンバーアカウントの組織証跡のホームリージョン内に証跡のコピーが作成されます。

  • 組織の証跡がマルチリージョンで、証跡のホームリージョンがオプトインリージョンではない場合、各メンバーアカウントで有効になっている各 AWS リージョン に対して証跡のコピーが作成されます。メンバーアカウントがオプトインリージョンを有効にすると、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンにマルチリージョン証跡のコピーが作成されます。

  • 組織の証跡がマルチリージョンであり、ホームリージョンがオプトインリージョンである場合、マルチリージョン証跡が作成された AWS リージョン をオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、アカウントで欧州 (スペイン) リージョンを有効にしているメンバーアカウントのみが、そのアカウントアクティビティを組織の証跡に送信します。

注記

CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織証跡を作成します。検証の失敗例を次に示します。

  • Amazon S3 バケットポリシーに誤りがある

  • Amazon SNS トピックポリシーに誤りがある

  • CloudWatch Logs ロググループに配信できない

  • KMS キーを使用して暗号化するアクセス許可が不十分

CloudTrail アクセス許可を持つメンバーアカウントは、CloudTrail コンソールで証跡の詳細ページを表示するか、AWS CLI get-trail-status コマンドを実行することで、組織証跡の検証の失敗を確認できます。

メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、AWS アカウントから CloudTrail コンソールにログインするか、describe-trails などの AWS CLI コマンドを実行することで組織の証跡 (証跡 ARN を含む) を表示することができます (ただし、AWS CLI を使用する場合、メンバーアカウントは名前ではなく、組織の証拠に ARN を使用する必要があります)。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、記録するイベントの種類の変更、または組織の証跡のいずれかの変更を行うアクセス許可は付与されていません。AWS Organizations の詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。

CloudTrail Lake とイベントデータストア

CloudTrail Lake を使用すると、イベントに対してきめ細かい SQL ベースのクエリを実行して、独自のアプリケーションや CloudTrail と統合されているパートナーなど、AWS 外部のソースからのイベントをログに記録できます。CloudTrail Lake を使用するために、アカウントで証跡を設定しておく必要はありません。

イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリ結果を S3 バケットに保存することもできます。CloudTrail Lake は、AWS Organizations 内の組織からのイベント、または複数のリージョンとアカウントからのイベントをイベントデータストアに保存することもできます。CloudTrail Lake は、セキュリティ関連の調査とトラブルシューティングを実行するために役立つ監査ソリューションの一部です。詳細については、「AWS CloudTrail Lake の使用」および「CloudTrail Lake の概念と用語」を参照してください。

CloudTrail Insights

CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、AWS ユーザーが異常な量の API コールまたはエラーを特定し、それに応答するのに役立ちます。Insights イベントは、異常なレベルの write 管理 API アクティビティ、または管理 API アクティビティで返された異常なレベルのエラーの記録です。証跡とイベントデータストアのデフォルトでは、CloudTrail Insights イベントはログ記録されません。コンソールでは、証跡あるいはイベントデータストアを作成または更新する際に Insights イベントがログ記録されるように選択できます。CloudTrail API を使用すると、PutInsightSelectors API で既存の証跡もしくはイベントデータストアの設定を編集することで、Insights イベントをログ記録できます。CloudTrail Insights イベントの記録には追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「CloudTrail Insights の使用」と「AWS CloudTrail 料金表」を参照してください。

タグ

タグとは、CloudTrail の証跡、イベントデータストア、チャネル、CloudTrail ログファイルの保存に使用される S3 バケット、AWS Organizations 組織および組織単位など、AWS リソースに割り当てることができる、ユーザー定義のキーとオプションの値のことです。証跡と証跡のログファイルを保存するために使用する S3 バケットに同じタグを追加することで、AWS Resource Groups でこれらのリソースを管理、検索、およびフィルタリングするのが簡単になります。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、「Best Practices for Tagging AWS Resources」を参照してください。

AWS Security Token Service および CloudTrail

AWS Security Token Service (AWS STS) は、グローバルエンドポイントを持つとともに、リージョン固有のエンドポイントもサポートしているサービスです。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。例えば、https://cloudtrail.us-west-2.amazonaws.com は、AWS CloudTrail サービスの米国西部 (オレゴン) リージョンのエントリポイントです。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。

AWS STS のリージョン固有エンドポイントを使用した場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。AWS STS のリージョンエンドポイントの詳細については、IAM ユーザーガイド の「AWS リージョンでの AWS STS のアクティブ化と非アクティブ化」を参照してください。

AWS リージョンエンドポイントの完全なリストについては、AWSの「AWS 全般のリファレンス のリージョンとエンドポイント」を参照してください。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。

グローバルサービスイベント

重要

2021 年 11 月 22 日、AWS CloudTrail は証跡がグローバルサービスイベントをキャプチャする方法を変更しました。現在、Amazon CloudFront、AWS Identity and Access Management、および AWS STS で作成されたイベントは、それらが作成されたリージョン、米国東部 (バージニア北部) リージョン (us-east-1) に記録されます。これにより、CloudTrail によるこれらのサービスの扱い方は他の AWS グローバルサービスの処理と一致するようになります。米国東部 (バージニア北部) 以外でグローバルサービスイベントを継続して受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用する単一リージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

一方で、CloudTrail コンソールの [イベント履歴] と aws cloudtrail lookup-events コマンドでは、これらのイベントが発生した AWS リージョン のイベントが表示されます。

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。AWS Identity and Access Management (IAM)、AWS STS、Amazon CloudFront などのグローバルサービスの場合、イベントはグローバルサービスが含まれている証跡に配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。

グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。

  • デフォルトでは、グローバルサービスイベントは CloudTrail コンソールを使用して作成された証跡に配信されます。イベントは、その証跡のバケットに配信されます。

  • 単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討してください。詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

  • マルチリージョン証跡を単一リージョン証跡に変換すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、単一リージョン証跡をマルチリージョン証跡に変換すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に有効になります。

    証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

例:

  1. 証跡は CloudTrail コンソールで作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。

  2. 単一リージョンの証跡を複数作成したとします。

  3. 単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳しくは、AWS CLI で証跡を作成、更新、管理する を参照してください。

注記

AWS CLI、AWS SDK、または CloudTrail API を使用して証跡を作成または更新する場合は、証跡に対してグローバルサービスイベントを含むか、除外するよう選択できます。CloudTrail コンソールからグローバルサービスイベントのログ記録を設定することはできません。