翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用したイベントデータストアの管理 AWS CLI
このセクションでは、イベントデータストアに関する情報の取得、イベントデータストアでの取り込みの開始と停止、イベントデータストアでのフェデレーションの有効化と無効化のために実行できるその他のコマンドについて説明します。
トピック
を使用してイベントデータストアを取得する AWS CLI
次のコマンド例では AWS CLI get-event-data-store、ARN または ARN の ID サフィックスを受け入れる必須--event-data-storeパラメータで指定されたイベントデータストアに関する情報を返します。
aws cloudtrail get-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
以下に、応答の例を示します。作成時刻と最終更新時刻は timestamp 形式です。
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
を使用してアカウント内のすべてのイベントデータストアを一覧表示する AWS CLI
次のコマンド例では AWS CLI list-event-data-stores、現在のリージョンのアカウント内のすべてのイベントデータストアに関する情報を返します。オプションのパラメータには、コマンドが単一のページに返す結果の最大数を指定する --max-results が含まれます。指定した --max-results 値よりも多くの結果がある場合は、返された NextToken 値を追加してコマンドを再度実行し、結果の次のページを取得します。
aws cloudtrail list-event-data-stores
以下に、応答の例を示します。
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
リソースタグキーと IAM グローバル条件キーを追加し、イベントサイズを拡張する
コマンドを実行して AWS CLI put-event-configuration最大イベントサイズを拡張し、最大 50 個のリソースタグキーと 50 個の IAM グローバル条件キーを追加して、イベントに関するメタデータを追加します。
put-event-configuration コマンドは次の引数を取ります。
-
--event-data-store– イベントデータストアの ARN または ARN の ID サフィックスを指定します。このパラメータは必須です。 -
--max-event-size– 最大イベントサイズを 1 MBLargeに設定するには、 に設定します。デフォルトでは、値は でStandard、最大イベントサイズは 256 KB です。注記
リソースタグキーまたは IAM グローバル条件キーを追加するには、イベントサイズを に設定
Largeして、追加されたすべてのキーがイベントに含まれていることを確認する必要があります。 -
--context-key-selectors– イベントデータストアによって収集されたイベントに含めるキーのタイプを指定します。リソースタグキーと IAM グローバル条件キーを含めることができます。追加されたリソースタグと IAM グローバル条件キーに関する情報は、イベントのeventContextフィールドに表示されます。詳細については、「リソースタグキーと IAM グローバル条件キーを追加して CloudTrail イベントを強化する」を参照してください。-
最大 50 個のリソースタグキーの配列を渡す
TagContextには、Typeを に設定します。リソースタグを追加すると、CloudTrail イベントには、API コールに関与したリソースに関連付けられた選択したタグキーが含まれます。削除されたリソースに関連する API イベントには、リソースタグはありません。 -
最大 50 個の IAM グローバル条件キーの配列を渡す
RequestContextには、 をTypeに設定します。IAM グローバル条件キーを追加すると、CloudTrail イベントには、プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加の詳細など、認可プロセス中に評価された選択した条件キーに関する情報が含まれます。
-
次の例では、最大イベントサイズを に設定Largeし、2 つのリソースタグキー myTagKey1 と を追加しますmyTagKey2。
aws cloudtrail put-event-configuration \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --max-event-size Large \ --context-key-selectors '[{"Type":"TagContext", "Equals":["myTagKey1","myTagKey2"]}]'
次の例では、最大イベントサイズを に設定Largeし、IAM; グローバル条件キー () を追加しますaws:MultiFactorAuthAge。
aws cloudtrail put-event-configuration \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --max-event-size Large \ --context-key-selectors '[{"Type":"RequestContext", "Equals":["aws:MultiFactorAuthAge"]}]'
最後の例では、すべてのリソースタグキーと IAM グローバル条件キーを削除し、最大イベントサイズを に設定しますStandard。
aws cloudtrail put-event-configuration \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --max-event-size Standard \ --context-key-selectors
イベントデータストアのイベント設定を取得する
コマンドを実行して AWS CLI get-event-configuration、CloudTrail イベントを収集するイベントデータストアのイベント設定を返します。このコマンドは、最大イベントサイズを返し、CloudTrail イベントに含まれるリソースタグキーと IAM グローバル条件キー (存在する場合) を一覧表示します。
aws cloudtrail get-event-configuration \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
を使用してイベントデータストアのリソースベースのポリシーを取得する AWS CLI
次の例では、組織のイベントデータストアで get-resource-policy コマンドを実行します。
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
コマンドは組織のイベントデータストアで実行されたため、出力には、提供されたリソースベースのポリシーと、委任管理者アカウント 333333333333 および 用にDelegatedAdminResourcePolicy生成された の両方が表示されます111111111111。
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207", "ResourcePolicy": { "Version": "2012-10-17", "Statement": [{ "Sid": "EdsPolicyA", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::666666666666:root" }, "Action": [ "cloudtrail:geteventdatastore", "cloudtrail:startquery", "cloudtrail:describequery", "cloudtrail:cancelquery", "cloudtrail:generatequery", "cloudtrail:generatequeryresultssummary" ], "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207" }] }, "DelegatedAdminResourcePolicy": { "Version": "2012-10-17", "Statement": [{ "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement", "Effect": "Allow", "Principal": { "AWS": ["333333333333", "111111111111"] }, "Action": [ "cloudtrail:AddTags", "cloudtrail:CancelQuery", "cloudtrail:CreateEventDataStore", "cloudtrail:DeleteEventDataStore", "cloudtrail:DescribeQuery", "cloudtrail:DisableFederation", "cloudtrail:EnableFederation", "cloudtrail:GenerateQuery", "cloudtrail:GenerateQueryResultsSummary", "cloudtrail:GetEventConfiguration", "cloudtrail:GetEventDataStore", "cloudtrail:GetInsightSelectors", "cloudtrail:GetQueryResults", "cloudtrail:ListEventDataStores", "cloudtrail:ListQueries", "cloudtrail:ListTags", "cloudtrail:RemoveTags", "cloudtrail:RestoreEventDataStore", "cloudtrail:UpdateEventDataStore", "cloudtrail:StartEventDataStoreIngestion", "cloudtrail:StartQuery", "cloudtrail:StopEventDataStoreIngestion", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207" }] } }
を使用して、リソースベースのポリシーをイベントデータストアにアタッチする AWS CLI
手動またはスケジュールされた更新中にダッシュボードでクエリを実行するには、ダッシュボードのウィジェットに関連付けられているすべてのイベントデータストアにリソースベースのポリシーをアタッチする必要があります。これにより、CloudTrail Lake はユーザーに代わってクエリを実行できます。リソースベースのポリシーの詳細については、「」を参照してください例: CloudTrail がクエリを実行してダッシュボードを更新することを許可する。
次の例では、ダッシュボードの更新時に CloudTrail がダッシュボードでクエリを実行できるようにするリソースベースのポリシーをイベントデータストアにアタッチします。account-id をアカウント ID に、eds-arn を CloudTrail がクエリを実行するイベントデータストアの ARN に、dashboard-arn をダッシュボードの ARN に置き換えます。
aws cloudtrail put-resource-policy \ --resource-arneds-arn\ --resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource": "eds-arn", "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}} ]}'
レスポンスの例を次に示します。
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "ResourcePolicy": "{ "Version": "2012-10-17", "Statement": [{ "Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource": "eds-arn", "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id" } } } ] }" }
その他のポリシーの例については、「」を参照してくださいイベントデータストアのリソースベースのポリシーの例。
でイベントデータストアにアタッチされたリソースベースのポリシーを削除する AWS CLI
次の の例では、イベントデータストアにアタッチされたリソースベースのポリシーを削除します。eds-arn をイベントデータストアの ARN に置き換えます。
aws cloudtrail delete-resource-policy --resource-arneds-arn
このコマンドは成功時に出力を生成しません。
でイベントデータストアの取り込みを停止する AWS CLI
次のコマンド例では AWS CLI stop-event-data-store-ingestion、イベントデータストアによるイベントの取り込みを停止します。取り込みを停止するには、イベントデータストアの Status が ENABLED で、eventCategory が Management、Data、ConfigurationItem のいずれかでなければなりません。イベントデータストアは --event-data-store によって指定されます。これは、イベントデータストア ARN、または、この ARN の ID サフィックスを受け入れます。stop-event-data-store-ingestion を実行すると、イベントデータストアの状態が STOPPED_INGESTION に変化します。
イベントデータストアの状態が STOPPED_INGESTION である場合、そのストアはアカウントの最大数 (10 個) に計上されません。
aws cloudtrail stop-event-data-store-ingestion \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
コマンドが成功した場合、レスポンスはありません。
でイベントデータストアの取り込みを開始する AWS CLI
次のコマンド例では AWS CLI start-event-data-store-ingestion、イベントデータストアでイベント取り込みを開始します。取り込みを開始するには、イベントデータストアの Status が STOPPED_INGESTION で、eventCategory が Management、Data、ConfigurationItem のいずれかでなければなりません。イベントデータストアは --event-data-store によって指定されます。これは、イベントデータストア ARN、または、この ARN の ID サフィックスを受け入れます。start-event-data-store-ingestion を実行すると、イベントデータストアの状態が ENABLED に変化します。
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
コマンドが成功した場合、レスポンスはありません。
イベントデータストアでのフェデレーションを有効にする
フェデレーションを有効にするには、必須パラメータの --event-data-store と --role を指定して aws cloudtrail enable-federation コマンドを実行します。--event-data-store には、イベントデータストア ARN (または ARN の ID サフィックス) を指定します。--role には、フェデレーションロールの ARN を指定します。ロールはアカウントに存在し、必要最小限のアクセス許可が付与されている必要があります。
aws cloudtrail enable-federation \ --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
この例は、管理アカウントのイベントデータストアの ARN と、委任された管理者アカウントのフェデレーションロールの ARN を指定することで、委任された管理者が組織のイベントデータストアのフェデレーションを有効にする方法を示しています。
aws cloudtrail enable-federation \ --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
イベントデータストアでのフェデレーションを無効にする
イベントデータストアでのフェデレーションを無効にするには、aws
cloudtrail disable-federation コマンドを実行します。イベントデータストアは、イベントデータストア ARN、または ARN の ID サフィックスを受け入れる --event-data-store によって指定されます。
aws cloudtrail disable-federation \ --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
注記
これが組織のイベントデータストアである場合は、管理アカウントのアカウント ID を使用します。
を使用してイベントデータストアを復元する AWS CLI
以下のサンプル AWS CLI restore-event-data-store コマンドは、削除保留中のイベントデータストアを復元します。イベントデータストアは、イベントデータストア ARN、または ARN の ID サフィックスを受け入れる --event-data-store によって指定されます。削除されたイベントデータストアを復元できるのは、削除後 7 日間の待機期間内のみです。
aws cloudtrail restore-event-data-store \ --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
レスポンスには、ARN、高度なイベントセレクタ、および復元のステータスなどのイベントデータストアに関する情報が含まれています。
