翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ
このページでは、管理、データ、またはネットワークアクティビティイベントのレコードコンテンツについて説明します。
レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。**オプション**の値が **True** の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。**False** の**オプション**の値は、そのフィールドが常に存在するか、その存在がサービス、API、またはイベントタイプに依存しないことを意味します。例は `responseElements` です。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。
**注記**
`eventContext` などの強化イベントのフィールドは、管理イベントとデータイベントでのみ使用できます。これらはネットワークイベントでは使用できません。
**`eventTime`**
リクエストが完了した日付と時刻、協定世界時 (UTC)。イベントのタイムスタンプは、API コールが行われたサービス API エンドポイントを提供するローカルホストから取得されます。たとえば、米国西部 (オレゴン) リージョンで実行される **CreateBucket** API イベントは、Amazon S3 エンドポイント を実行している AWS ホストの時刻からタイムスタンプを取得します`s3.us-west-2.amazonaws.com`。一般的に、 AWS サービスは Network Time Protocol (NTP) を使用してシステムクロックを同期します。
**使用可能:** 1.0 以降
**オプション:** False
**`eventVersion`**
ログイベント形式のバージョン。現在のバージョンは 1.11 です。
`eventVersion` の値は、{{major\_version}}.{{minor\_version}} の形式でメジャーおよびマイナーのバージョンです。例えば、`eventVersion` の値が `1.10` の場合には、`1` がメジャーバージョンを示し、`10` がマイナーバージョンを示します。
イベント構造に後方互換性のない変更が加えられた場合、CloudTrail により、メジャーバージョンが増分されます。これには、既に存在する JSON フィールドの削除や、フィールドのコンテンツの表現方法 (日付形式など) の変更が含まれます。イベント構造に新しいフィールドを追加する変更をした場合、CloudTrail がマイナーバージョンを増分します。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用可能か、新しいイベントタイプでのみ新しい情報が利用可能な場合です。イベント構造の新しいマイナーバージョンとの将来の互換性を保つには、アプリケーションは新しいフィールドを無視する場合があります。
CloudTrail により新しいイベントタイプが導入されたが、イベントの構造が変更されていない場合、イベントのバージョンは変更されません。
アプリケーションがイベント構造を正しく解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションで予期されるフィールドが存在することを確認するため、マイナーバージョンがそれ以上であるかどうかの比較を行うことをお勧めします。マイナーバージョンには先頭のゼロはありません。{{major\_version}} および {{minor\_version}} を数値として解釈し、比較操作を実行できます。
**使用可能:** 1.0 以降
**オプション:** False
**`userIdentity`**
リクエストを作成した IAM アイデンティティに関する情報。詳細については、「[CloudTrail userIdentity エレメント](cloudtrail-event-reference-user-identity.md)」を参照してください。
**使用可能:** 1.0 以降
**オプション:** False
**`eventSource`**
リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に `.amazonaws.com` を付けたものです。例えば、次のようになります。
+ CloudFormation は です`cloudformation.amazonaws.com`。
+ Amazon EC2 は `ec2.amazonaws.com` です。
+ Amazon Simple Workflow Service は `swf.amazonaws.com` です。
この規則にはいくつかの例外があります。例えば、Amazon CloudWatch の `eventSource` 値は `monitoring.amazonaws.com` です。
**使用可能:** 1.0 以降
**オプション:** False
**`eventName`**
リクエストされたアクション。そのサービスの API アクションの 1 つです。
**使用可能:** 1.0 以降
**オプション:** False
**`awsRegion`**
など、リクエスト AWS リージョン が行われた `us-east-2`。「[CloudTrail がサポートされているリージョン](cloudtrail-supported-regions.md)」を参照してください。
**使用可能:** 1.0 以降
**オプション:** False
**`sourceIPAddress`**
リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。のサービスの場合 AWS、DNS 名のみが表示されます。
AWSからのイベントの場合、このフィールドは通常 `AWS Internal/{{#}}` で、`{{#}}` は内部で使用される数字です。
**使用可能:** 1.0 以降
**オプション:** False
**`userAgent`**
サービス、 AWS AWS SDKs、 など AWS マネジメントコンソール、リクエストが行われたエージェント AWS CLI。
このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。
以下は値の例です。
+ `lambda.amazonaws.com` – リクエストは AWS Lambdaで行われました。
+ `aws-sdk-java` – リクエストは AWS SDK for Javaで行われました。
+ `aws-sdk-ruby` – リクエストは AWS SDK for Rubyで行われました。
+ `aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5` – リクエストは Linux に AWS CLI インストールされた で行われました。
CloudTrail が AWS のサービス 呼び出し元のイベント AWSの場合、このフィールドは呼び出し元のサービスのイベントソースです (例: `ec2.amazonaws.com`)。それ以外の場合、このフィールドは `AWS Internal/{{#}}` であり、`{{#}}` は内部目的に使用される数値です。
**使用可能:** 1.0 以降
**オプション:** True
**`errorCode`**
リクエストがエラーを返した場合 AWS のサービスエラー。このフィールドを示す例については、「[エラーコードとメッセージログの例](cloudtrail-log-file-examples.md#error-code-and-error-message)」を参照してください。
このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。
ネットワークアクティビティイベントの場合、VPC エンドポイントポリシーに対する違反がある場合、エラーコードは `VpceAccessDenied` です。
**使用可能:** 1.0 以降
**オプション:** True
**`errorMessage`**
リクエストがエラーを返す場合、エラーの説明。このメッセージには、認可エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、[エラーコードとメッセージログの例](cloudtrail-log-file-examples.md#error-code-and-error-message)を参照してください。
このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。
ネットワークアクティビティイベントの場合、VPC エンドポイントポリシーに対する違反がある場合、`errorMessage` は常に次のメッセージになります: `The request was denied due to a VPC endpoint policy`。VPC エンドポイントポリシー違反におけるアクセス拒否イベントの詳細については、「*IAM ユーザーガイド*」の「[アクセス拒否エラーメッセージの例](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html#access-denied-error-examples)」を参照してください。VPC エンドポイントポリシー違反を示すネットワークアクティビティイベントの例については、本ガイドの「[Network activity events](cloudtrail-events.md#network-event-example)」を参照してください。
一部の AWS サービスは、イベントの最上位フィールド`errorMessage`として `errorCode`と を提供します。他の AWS のサービスでは、`responseElements` の一部としてエラー情報を提供します。
**使用可能:** 1.0 以降
**オプション:** True
**`requestParameters`**
リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、適切な AWS サービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、`requestParameters` コンテンツは省略されます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ省略されます。
**使用可能:** 1.0 以降
**オプション:** False
**`responseElements`**
変更を行うアクション (存在する場合) に対するレスポンス要素 (アクションの作成、更新、削除)。`readOnly` API では、このフィールドは `null` です。アクションがレスポンス要素を返さない場合、このフィールドは `null` です。アクションのレスポンス要素については、該当する AWS のサービスの「API リファレンス」ドキュメントに記載されています。
このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、`reponseElements` コンテンツは省略されます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ省略されます。
`responseElements` 値は、リクエストをトレースするのに役立ちます。
と AWS サポート。`x-amz-request-id` および `x-amz-id-2` のどちらにも、 サポートを使用してリクエストをトレースする際に役立つ情報が含まれています。これらの値は、イベントを開始するリクエストへの応答としてサービスが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。
**使用可能:** 1.0 以降
**オプション:** False
**`additionalEventData`**
リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。フィールドサイズが 28 KB を超えると、`additionalEventData` コンテンツは省略されます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ省略されます。
`additionalEventData` のコンテンツは可変です。例えば、[AWS マネジメントコンソール サインインイベント](cloudtrail-event-reference-aws-console-sign-in-events.md)の場合、リクエストが多要素認証 (MFA) を使用してルートまたは IAM ユーザーによって行われた場合、`additionalEventData` には `Yes` の値を持つ `MFAUsed` フィールドを含めることができます。
**使用可能:** 1.0 以降
**オプション:** True
**`requestID`**
リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。
**使用可能:** 1.01 以降
**オプション:** True
**`eventID`**
各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。
**使用可能:** 1.01 以降
**オプション:** False
**`eventType`**
イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。
+ `AwsApiCall` – API が呼び出されました。
+ `AwsServiceEvent` – サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。
+ `AwsConsoleAction` - コンソールで API コールではないアクションが実行されました。
+ `AwsConsoleSignIn` – アカウントのユーザー (root、IAM、フェデレーション、SAML、またはスイッチロール) が AWS マネジメントコンソールにサインインしました。
+ `AwsVpceEvents` – CloudTrail ネットワークアクティビティイベントにより、VPC エンドポイント所有者は、プライベート VPC から への VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。ネットワークアクティビティイベントを記録するには、VPC エンドポイント所有者がイベントソースでネットワークアクティビティイベントを有効にする必要があります。
**使用可能:** 1.02 以降
**オプション:** False
**`apiVersion`**
`AwsApiCall``eventType` 値に関連付けられた API バージョンを識別します。
**使用可能:** 1.01 以降
**オプション:** True
**`managementEvent`**
イベントが管理イベントかどうかを識別するブール値。`eventVersion` が 1.06 以上で、イベントタイプが次のいずれかである場合、`managementEvent` がイベントレコードに表示されます。
+ `AwsApiCall`
+ `AwsConsoleAction`
+ `AwsConsoleSignIn`
+ `AwsServiceEvent`
**使用可能:** 1.06 以降
**オプション:** True
**`readOnly`**
この操作が、読み取り専用オペレーションであるかどうかを識別します。これは、以下の値のいずれかになります。
+ `true` – オペレーションは読み取り専用です (例:`DescribeTrails`)。
+ `false` – オペレーションは書き込み専用です (例:`DeleteTrail`)。
**使用可能:** 1.01 以降
**オプション:** True
**`resources`**
イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。
+ リソース ARN
+ リソース所有者のアカウント ID
+ 以下の形式でのリソースタイプ識別子 : `AWS::{{aws-service-name}}::{{data-type-name}}`
たとえば、`AssumeRole` イベントが記録されると、`resources` フィールドは次のようになります。
+ ARN: `arn:aws:iam::123456789012:role/{{myRole}}`
+ アカウント ID: `123456789012`
+ リソースタイプ識別子 : `AWS::IAM::Role`
`resources` フィールドを使用したログの例については、*「IAM ユーザーガイド*」の[AWS STS CloudTrail ログファイルの API イベント](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample)」または「 *AWS Key Management Service デベロッパーガイド*」の[AWS KMS 「API コールのログ記録](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)」を参照してください。
**使用可能:** 1.01 以降
**オプション:** True
**`recipientAccountId`**
このイベントを受信したアカウント ID を表します。`recipientAccountID` は [CloudTrail userIdentity エレメント](cloudtrail-event-reference-user-identity.md) `accountId` とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。例えば、[AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) とも呼ばれる KMS キーが別のアカウントで使用されて、[Encrypt API](https://docs.aws.amazon.com/kms/latest/developerguide/ct-encrypt.html) が呼び出された場合、`accountId` の値と `recipientAccountID` の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、KMS キーを所有するアカウントに配信されるイベントでの値は異なります。
**使用可能:** 1.02 以降
**オプション:** True
**`serviceEventDetails`**
イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、「[AWS のサービス イベント](non-api-aws-service-events.md)」を参照してください。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、`serviceEventDetails` コンテンツは省略されます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ省略されます。
**使用可能:** 1.05 以降
**オプション:** True
**`sharedEventID`**
CloudTrail によって生成された GUID は、異なる AWS アカウントに送信されるのと同じ AWS アクションから CloudTrail イベントを一意に識別します。
例えば、アカウントが別のアカウントに属する [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) を使用する場合、KMS キーを使用したアカウントと KMS キーを所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。この AWS アクションで配信される各 CloudTrail イベントは同じ を共有しますが`sharedEventID`、一意の `eventID`と もあります`recipientAccountID`。
詳細については、「[sharedEventID の例](#shared-event-ID)」を参照してください。
`sharedEventID` フィールドは、CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、CloudTrail は 1 つのイベントのみを送信し、`sharedEventID` フィールドはありません。
**使用可能:** 1.03 以降
**オプション:** True
**`vpcEndpointId`**
VPC から Amazon EC2 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。
によって発生 AWS し、 の VPC AWS のサービスを介して発生するイベントの場合、このフィールドは通常 `AWS Internal`または サービス名です。
**使用可能:** 1.04 以降
**オプション:** True
**`vpcEndpointAccountId`**
リクエストがトラバースされた対応するエンドポイントの VPC エンドポイント所有者の AWS アカウント ID を識別します。
によって発生 AWS し、 の VPC AWS のサービスを介して発生するイベントの場合、このフィールドは通常 `AWS Internal`または サービス名です。
**該当バージョン:** 1.09
**オプション:** True
**`eventCategory`**
イベントカテゴリを表示します。イベントカテゴリは、管理イベントをフィルタリングするための [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) 呼び出しに使用されます。
+ 管理イベントの場合、値は `Management` です。
+ データイベントの場合、値は `Data` です。
+ ネットワークアクティビティイベントの場合、値は `NetworkActivity` です。
**使用可能:** 1.07 以降
**オプション:** False
**`addendum`**
イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容は以下が含まれます。
+ **`reason`** - イベントまたはその内容の一部が欠落していた理由。値は以下のいずれかです。
+ **`DELIVERY_DELAY`** - イベントの配信に遅延がありました。これは、高いネットワークトラフィック、接続性の問題、または CloudTrail サービスの問題が原因である可能性があります。
+ **`UPDATED_DATA`** - イベントレコードのフィールドが見つからないか、正しくない値がありました。
+ **`SERVICE_OUTAGE`** - CloudTrail にイベントを記録するサービスが停止し、CloudTrail にイベントを記録できませんでした。これは非常にまれです。
+ **`updatedFields`** - 補遺によって更新されるイベントレコードフィールド。これは、理由が `UPDATED_DATA` の場合にのみ提供されます。
+ **`originalRequestID`** - リクエストの元の一意の ID。これは、理由が `UPDATED_DATA` の場合にのみ提供されます。
+ **`originalEventID`** - 元のイベントの ID。これは、理由が `UPDATED_DATA` の場合にのみ提供されます。
**使用可能:** 1.08 以降
**オプション:** True
**`sessionCredentialFromConsole`**
イベントが AWS マネジメントコンソール セッションから発生したかどうか`false`を示す `true`または の値を持つ文字列。このフィールドは、値が `true` でなければ表示されません。つまり、API コールを行うために使用されたクライアントは、プロキシまたは外部クライアントのいずれかでなければ表示されません。プロキシクライアントが使用された場合、`tlsDetails` イベントフィールドは表示されません。
**使用可能:** 1.08 以降
**オプション:** True
**`eventContext`**
このフィールドは、リソースタグキーまたは IAM グローバル条件キーを含むように設定されたイベントデータストアの記録された強化イベントに存在します。詳細については、「[リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する](cloudtrail-context-events.md)」を参照してください。
コンテンツには以下が含まれます。
+ `requestContext` – プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加情報など、承認プロセス中に評価された IAM グローバル条件キーに関する情報が含まれます。
+ `tagContext` – API コールに関与したリソースに関連付けられたタグと、ロールやユーザーなどの IAM プリンシパルに関連付けられたタグが含まれます。詳細については、「[IAM プリンシパルのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals)」を参照してください。
削除されたリソースに関連する API イベントにはリソースタグはありません。
`eventContext` フィールドは、リソースタグキーと IAM グローバル条件キーを含むように設定されたイベントデータストアのイベントにのみ存在します。**イベント履歴**、Amazon EventBridge に配信され、 AWS CLI `lookup-events` コマンドで表示可能で、証跡に配信されるイベントには、 `eventContext`フィールドは含まれません。
**以降:** 1.11
**オプション:** True
**`edgeDeviceDetails`**
リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、[https://aws.amazon.com/s3/outposts/](https://aws.amazon.com/s3/outposts/) デバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。
**使用可能:** 1.08 以降
**オプション:** True
**`tlsDetails`**
Transport Layer Security (TLS) バージョン、暗号スイート、およびサービス API コールで使用されるクライアント提供のホスト名の完全修飾ドメイン名 (FQDN) (通常はサービスエンドポイントの FQDN) に関する情報を表示します。CloudTrail は、予想される情報が見つからないか空の場合、TLS の詳細の一部を記録します。例えば、TLS のバージョンと暗号スイートが存在するが、`HOST` ヘッダーが空の場合、利用可能な TLS の詳細が CloudTrail イベントに記録されます。
+ **`tlsVersion`** - リクエストの TLS バージョン。
+ **`cipherSuite`** - リクエストの暗号スイート (使用されるセキュリティアルゴリズムの組み合わせ)。
+ **`clientProvidedHostHeader`** - サービス API コールで使用されるクライアント提供のホスト名 (通常はサービスエンドポイントの FQDN)。
+ **`keyExchange`** - TLS ハンドシェイクで使用されるキー交換方法。このフィールドは、接続が古典暗号とポスト量子暗号のどちらを使用したかを示します。値の例には、`X25519MLKEM768`ポスト量子 TLS 1.3、`x25519`クラシック TLS 1.3、TLS 1.2 `secp256r1`などがあります。
`tlsDetails` フィールドがイベントレコードに存在しない場合があります。
+ API コールが AWS のサービス ユーザーに代わって によって実行された場合、 `tlsDetails`フィールドは存在しません。`userIdentity` 要素内の `invokedBy` フィールドは、API 呼び出しを行った AWS のサービス を識別します。
+ `sessionCredentialFromConsole` が true の値を持つ場合、`tlsDetails` は、API 呼び出しを行うために外部クライアントが使用された場合にのみイベントレコードに存在します。
**使用可能:** 1.08 以降
**オプション:** True
## 最大イベントサイズが 1 MB のフィールド切り捨て順序
[CloudTrail コンソール](query-event-data-store-cloudtrail.md)、[AWS CLI](lake-cli-manage-eds.md#lake-cli-put-event-configuration)、SDK を使用してイベントデータストアを作成または更新するときに、最大イベントサイズを 256 KB から 1 MB に拡張できます。
イベントサイズを拡張すると、通常は切り捨てられたり省略されたりするフィールドの完全なコンテンツを表示できるため、イベントの分析やトラブルシューティングに役立ちます。
イベントペイロードが 1 MB を超えると、CloudTrail は次の順序でフィールドを切り捨てます。
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `eventContext`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
切り捨てた後でもイベントペイロードを 1 MB 未満に減らすことができない場合、エラーが発生します。
## sharedEventID の例
以下の例では、CloudTrail が同じアクションに対して 2 つのイベントをどのように提供するかを説明します。
1. Alice には AWS アカウント (111111111111) があり、 を作成します AWS KMS key。彼女はこの KMS キーの所有者です。
1. Bob には AWS アカウント (222222222222) があります。Alice は、Bob に KMS キーの使用を許可します。
1. 各アカウントにはトレイルおよび別のバケットがあります。
1. Bob は、KMS キーを使用して `Encrypt` API を呼び出します。
1. CloudTrail は、2 つの別々のイベントを送信します。
+ 1 つのイベントが Bob に送信されます。このイベントは、Bob が KMS キーを使用したことを示します。
+ 1 つのイベントが Alice に送信されます。このイベントは、Bob が KMS キーを使用したことを示します。
+ イベントと同じ `sharedEventID` ですが、`eventID` および `recipientAccountID` は一意です。
