翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
とは AWS CloudTrail
ヒント
CloudTrail データイベントを使用する場合は、Cloud Operations Enablement ワークショップとイベントシリーズ
AWS CloudTrail は、 の運用およびリスク監査、ガバナンス、コンプライアンスを有効にする AWS のサービス のに役立つ です AWS アカウント。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます。イベントには AWS マネジメントコンソール、、 AWS Command Line Interface、および AWS SDKs と APIs で実行されたアクションが含まれます。
CloudTrail には、次の 3 つの方法でイベントを記録できます。
-
[イベント履歴] - [イベント履歴] では、 AWS リージョン 内の過去 90 日間の管理イベントに関するレコードを表示、検索、ダウンロードできます。このレコードは変更できません。単一の属性でフィルタリングして、イベントを検索できます。アカウントの作成時に、[イベント履歴] へのアクセス権が自動的に付与されます。詳細については、「CloudTrail イベント履歴の操作」を参照してください。
[イベント履歴] の閲覧には CloudTrail の料金はかかりません。
-
CloudTrail Lake – AWS CloudTrail Lake は、監査およびセキュリティ AWS の目的で のユーザーおよび API アクティビティをキャプチャ、保存、アクセス、分析するためのマネージドデータレイクです。CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC
形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。 AWS アカウント を使用して、単一 AWS アカウント または複数のイベントデータストアを作成できます AWS Organizations。S3 バケットに存在する任意の CloudTrail ログを、既存または新規のイベントデータストアにインポートできます。Lake ダッシュボードを使用して、CloudTrail イベントの上位トレンドを視覚化することもできます。詳細については、「AWS CloudTrail Lake の使用」を参照してください。 CloudTrail Lake のイベントデータストアとクエリには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。CloudTrail 料金の詳細については、 ユーザーガイドの「AWS CloudTrail の料金
」および「CloudTrail Lake のコスト管理」を参照してください。 -
証跡 – 証跡は AWS アクティビティの記録をキャプチャし、これらのイベントを Amazon S3 バケットに配信および保存し、オプションで CloudWatch Logs と Amazon EventBridge に配信します。これらのイベントをセキュリティ監視ソリューションに入力できます。また、お持ちのサードパーティソリューションや Amazon Athena などのソリューションを使用して CloudTrail ログを検索および分析することもできます。 AWS アカウント を使用して、単一の AWS アカウント または複数の の証跡を作成できます AWS Organizations。Insights イベントをログに記録して、異常な API コール率やエラー率を見つけるために管理イベントを分析できます。詳細については、「の証跡の作成 AWS アカウント」を参照してください。
証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
」を参照してください。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金 」を参照してください。
AWS アカウントのアクティビティを可視化することは、セキュリティと運用のベストプラクティスの重要な側面です。CloudTrail を使用して、 AWS インフラストラクチャ全体のアカウントアクティビティを表示、検索、ダウンロード、アーカイブ、分析、応答できます。アカウント内のアクティビティの分析と対応に役立つアクションの実行者や実行者、実行されたリソース、イベントの発生日時、その他の詳細を特定できます AWS 。
API を使用して CloudTrail をアプリケーションに統合したり、組織用の証跡やイベントデータストアの作成を自動化したり、作成したイベントデータストアや証跡のステータスを確認したり、CloudTrail イベントをユーザーが表示する方法を制御したりすることができます。
CloudTrail へのアクセス
次のいずれかの方法で CloudTrail を使用できます。
CloudTrail コンソール
にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/cloudtrail/
CloudTrail コンソールは、以下を含めた数多くの CloudTrail タスクを実行するためのユーザーインターフェイスを提供します。
-
AWS アカウントの最近のイベントとイベント履歴を表示する。
-
[イベント履歴] から、管理イベントの過去 90 日間をフィルタリングしたファイルまたは完全なファイルをダウンロード。
-
CloudTrail 証跡の作成と編集。
-
CloudTrail Lake イベントデータストアの作成と編集。
-
イベントデータストアでのクエリの実行。
-
CloudTrail 証跡の設定には以下を含みます。
-
証跡用の Amazon S3 バケットの選択。
-
プレフィックスの設定。
-
CloudWatch Logs への配信の設定。
-
証跡データの暗号化に AWS KMS キーを使用する。
-
ログファイル配信用の Amazon SNS 通知の証跡での有効化。
-
証跡タグを追加および管理します。
-
-
CloudTrail Lake イベントデータストアの設定には以下を含みます。
-
イベントデータストアを CloudTrail パートナーまたは独自のアプリケーションと統合して、外部のソースからのイベントをログに記録します AWS。
-
Amazon Athena からクエリを実行するための、イベントデータストアのフェデレーション。
-
イベントデータストアデータの暗号化に AWS KMS キーを使用する。
-
イベントデータストアでのタグの追加および管理。
-
の詳細については AWS マネジメントコンソール、「」を参照してくださいAWS マネジメントコンソール。
AWS CLI
AWS Command Line Interface は、コマンドラインから CloudTrail を操作するために使用できる統合ツールです。詳細については、「AWS Command Line Interface ユーザーガイド」を参照してください。CloudTrail CLI コマンドの完全なリストについては、「AWS CLI コマンドリファレンス」の「cloudtrail」および「cloudtrail-data」を参照してください。
CloudTrail API
コンソールと CLI に加えて、CloudTrail RESTful API も使用できます。API を使用すれば、CloudTrail を直接プログラムすることができます。詳細については、「AWS CloudTrail API リファレンス」および「CloudTrail データ API リファレンス」を参照してください。
AWS SDKs
CloudTrail API を使用する代わりに、いずれかの AWS SDKsを使用できます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、CloudTrail へのアクセス権をプログラムによって作成するのに役立ちます。例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、「AWSでの構築ツール
