リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する - AWS CloudTrail
AWS のサービス リソースタグのサポートAWS のサービス IAM グローバル条件キーのサポートイベント例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する

イベントデータストアを作成または更新するときにリソースタグキー、プリンシパルタグキー、および IAM グローバル条件キーを追加することで、CloudTrail 管理イベントとデータイベントを強化できます。これにより、コスト配分、財務管理、運用、データセキュリティ要件など、ビジネスコンテキストに基づいて CloudTrail イベントを分類、検索、分析できます。CloudTrail Lake でクエリを実行することで、イベントを分析できます。イベントデータストアをフェデレーションし、Amazon Athena でクエリを実行することを選択することもできます。CloudTrail コンソールAWS CLI、および SDK を使用して、リソースタグキーと IAM グローバル条件キーをイベントデータストアに追加できます。

注記

リソースの作成または更新後に追加したリソースタグは、CloudTrail イベントに反映されるまでに遅延が発生する可能性があります。リソース削除の CloudTrail イベントにはタグ情報が含まれていない場合があります。

IAM グローバル条件キーは常にクエリの出力に表示されますが、リソース所有者には表示されない場合があります。

リソースタグキーを強化イベントに追加すると、CloudTrail イベントには API コールに関係したリソースに関連付けられた選択したタグキーが含まれます。

IAM グローバル条件キーをイベントデータストアに追加すると、CloudTrail には、プリンシパル、セッション、およびリクエスト自体に関する追加情報など、承認プロセス中に評価された選択した条件キーに関する情報が含まれます。

注記

条件キーまたはプリンシパルタグを含めるように CloudTrail を設定しても、この条件キーまたはプリンシパルタグがすべてのイベントに存在するわけではありません。例えば、特定のグローバル条件キーを含めるように CloudTrail を設定しても、特定のイベントで表示されない場合、これはキーがそのアクションの IAM ポリシー評価に関連しなかったことを示します。

リソースタグキーまたは IAM 条件キーを追加すると、CloudTrail は API アクション用に選択されたコンテキスト情報を提供する eventContext フィールドを CloudTrail イベントに含めます。

イベントに eventContext フィールドが含まれない場合のいくつかの例外は、以下の通りです。

  • 削除されたリソースに関連する API イベントにはリソースタグがある、またはない可能性があります。

  • eventContext フィールドには遅延イベントのデータが含まれず、API コール後に更新されたイベントの場合はこのフィールド自体が存在しません。例えば、Amazon EventBridge に遅延や停止が発生した場合、停止が解決されてからしばらくの間、イベントのタグが古いままになることがあります。一部の AWS サービスでは、遅延が長くなります。詳細については、「強化イベントの CloudTrail でのリソースタグの更新」を参照してください。

  • 強化イベントに使用される AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを変更または削除した場合、CloudTrail はリソースタグを eventContext に入力しません。

注記

eventContext フィールドは、リソースタグキー、プリンシパルタグキー、および IAM グローバル条件キーを含むように設定されたイベントデータストアのイベントにのみ存在します。イベント履歴に配信されたイベント、Amazon EventBridge、 コマンドで AWS CLI lookup-events表示可能、証跡に配信されたイベントには、 eventContextフィールドは含まれません。

AWS のサービス リソースタグのサポート

すべての はリソースタグ AWS のサービス をサポートします。詳細については、「AWS Resource Groups Tagging APIをサポートするサービス」を参照してください。

強化イベントの CloudTrail でのリソースタグの更新

それを行うように設定すると、CloudTrail はリソースタグに関する情報をキャプチャし、それらを使用して強化イベントで情報を提供します。リソースタグを使用する場合、イベントに対するシステムリクエスト時にリソースタグが正確に反映されない特定の条件があります。標準オペレーション中、リソース作成時に適用されるタグは常に存在し、遅延は最小限またはまったく発生しません。ただし、以下のサービスでは、CloudTrail イベントに表示されるリソースタグの変更に遅延が生じることが予想されます。

  • Amazon Chime Voice Connector

  • AWS CloudTrail

  • AWS CodeConnections

  • Amazon DynamoDB

  • Amazon ElastiCache

  • Amazon Keyspaces (Apache Cassandra 向け)

  • Amazon Kinesis

  • Amazon Lex

  • Amazon MemoryDB

  • Amazon S3

  • Amazon Security Lake

  • AWS Direct Connect

  • AWS IAM アイデンティティセンター

  • AWS Key Management Service

  • AWS Lambda

  • AWS Marketplace Vendor Insights

  • AWS Organizations

  • AWS Payment Cryptography

  • Amazon Simple Queue Service

サービス停止により、リソースタグ情報の更新が遅延する可能性もあります。サービス停止の遅延が発生した場合、後続の CloudTrail イベントには、リソースタグの変更に関する情報を含む addendum フィールドが含まれます。この追加情報は、指定されたとおりに使用され、強化された CloudTrail イベントを提供します。

AWS のサービス IAM グローバル条件キーのサポート

次の は、強化イベントの IAM グローバル条件キー AWS のサービス をサポートしています。

  • AWS Certificate Manager

  • AWS CloudTrail

  • Amazon CloudWatch

  • Amazon CloudWatch Logs

  • AWS CodeBuild

  • AWS CodeCommit

  • AWS CodeDeploy

  • Amazon Cognito Sync

  • Amazon Comprehend

  • Amazon Comprehend Medical

  • Amazon Connect Voice ID

  • AWS Control Tower

  • Amazon Data Firehose

  • Amazon Elastic Block Store

  • エラスティックロードバランシング

  • AWS End User Messaging Social

  • Amazon EventBridge

  • Amazon EventBridge スケジューラ

  • Amazon Data Firehose

  • Windows

  • AWS HealthImaging

  • AWS IoT Events

  • AWS IoT FleetWise

  • AWS IoT SiteWise

  • AWS IoT TwinMaker

  • AWS IoT Wireless

  • Amazon Kendra

  • AWS KMS

  • AWS Lambda

  • AWS License Manager

  • Amazon Lookout for Equipment

  • Amazon Lookout for Vision

  • AWS Network Firewall

  • AWS Payment Cryptography

  • Amazon Personalize

  • AWS Proton

  • Amazon Rekognition

  • Amazon SageMaker AI

  • AWS Secrets Manager

  • Amazon Simple Email Service (Amazon SES)

  • Amazon Simple Notification Service (Amazon SNS)

  • Amazon SQS

  • AWS Step Functions

  • AWS Storage Gateway

  • Amazon SWF 

  • AWS Supply Chain

  • Amazon Timestream

  • Amazon Timestream for InfluxDB

  • Amazon Transcribe

  • AWS Transfer Family

  • AWS Trusted Advisor

  • Amazon WorkSpaces

  • AWS X-Ray

強化イベント用のサポートされている IAM グローバル条件キー

次の表に、CloudTrail 強化イベントでサポートされている IAM グローバル条件キーと、値の例を一覧表示します。

グローバル条件キーとサンプル値
Key 値の例
aws:FederatedProvider IdP
aws:TokenIssueTime 123456789
aws:MultiFactorAuthAge 「99」
aws:MultiFactorAuthPresent 「true
aws:SourceIdentity UserName
aws:PrincipalAccount 「111122223333」
aws:PrincipalArn 「arn:aws:iam::555555555555:role/myRole
aws:PrincipalIsAWSService 「false
aws:PrincipalOrgID o-rganization
aws:PrincipalOrgPaths [「o-rganization/path-of-org」]
aws:PrincipalServiceName cloudtrail.amazonaws.com
aws:PrincipalServiceNamesList [「cloudtrail.amazonaws.com"s3.amazonaws.com」]
aws:PrincipalType AssumedRole
aws:userid userID
aws:username 「ユーザー名
aws:RequestedRegion us-east-2"
aws:SecureTransport 「true
aws:ViaAWSService 「false
aws:CurrentTime 2025-04-30 15:30:00
aws:EpochTime 1746049800
aws:SourceAccount 111111111111
aws:SourceOrgID o-rganization

イベント例

次の例では、eventContext フィールドには、API コールが AWS のサービスによって行われなかったことを示す、false の値を持つ IAM グローバル条件キー aws:ViaAWSService が含まれています。

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/admin",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/admin",
                "accountId": "123456789012",
                "userName": "admin"
            },
            "attributes": {
                "creationDate": "2025-01-22T22:05:56Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2025-01-22T22:06:16Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "GetTrailStatus",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.168.0.0",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0",
    "requestParameters": {
        "name": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myTrail"
    },
    "responseElements": null,
    "requestID": "d09c4dd2-5698-412b-be7a-example1a23",
    "eventID": "9cb5f426-7806-46e5-9729-exampled135d",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true",
    "eventContext": {
        "requestContext": {
            "aws:ViaAWSService": "false"
        },
        "tagContext": {}
    }
}