AWS CloudTrail 内のインフラストラクチャセキュリティ

マネージドサービスである AWS CloudTrail は、AWS グローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「AWSクラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスにより AWS 環境を設計するには、「セキュリティの柱 - AWS Well-Architected フレームワーク」の「インフラストラクチャ保護」を参照してください。

AWS が公開した API コールを使用して、ネットワーク経由で CloudTrail にアクセスします。クライアントは以下をサポートする必要があります。

Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

以下のセキュリティのベストプラクティスも CloudTrail でのインフラストラクチャのセキュリティに対処します。

証跡アクセス用の Amazon VPC エンドポイントを検討してください。
Amazon S3 バケットアクセス用の Amazon VPC エンドポイントの検討詳細については、「バケットポリシーを使用した VPC エンドポイントからのアクセスコントロール」を参照してください。
CloudTrail ログファイルが格納されているすべての Amazon S3 バケットを識別して監査します。CloudTrail 証跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立つタグを使用することを検討してください。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、を参照してください。AWS Resource Groups

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

耐障害性

サービス間の混乱した代理の防止