コンソールで Insights イベントのイベントデータストアを作成する - AWS CloudTrail
Insights イベントをログに記録する送信先イベントデータストアを作成するにはInsights イベントを有効にするソースイベントデータストアを作成するには

コンソールで Insights イベントのイベントデータストアを作成する

AWS CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、AWS ユーザーが API コール率および API エラー率に関連付けられた異常なアクティビティを特定し、対応するのに役立ちます。CloudTrail Insights は、ベースラインとも呼ばれる API コール率と API エラー率の通常のパターンを分析し、コール量やエラー率が通常のパターンから外れた場合に Insights イベントを生成します。API コール率に関する Insights イベントは、write 管理 API に対して生成されます。一方、API エラー率に関する Insights イベントは、readwrite の両方の管理 API に対して生成されます。

CloudTrail Lake で Insights イベントを記録するには、Insights イベントをログ記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログ記録するソースイベントデータストアが必要です。

注記

API コール率に関する Insights イベントをログに記録するには、ソースイベントデータストアで write 管理イベントがログに記録される必要があります。API エラー率に関する Insights イベントをログに記録するには、ソースイベントデータストアで read または write の管理イベントがログに記録されている必要があります。

ソースイベントデータストアで CloudTrail Insights を有効にしており、CloudTrail が異常なアクティビティを検出した場合、CloudTrail は送信先イベントデータストアに Insights イベントを配信します。CloudTrail イベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、アカウントの通常の使用パターンと大きく異なるアカウントの API 使用状況の変化を CloudTrail が検出した場合にだけログに記録されます。

イベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。

CloudTrail Insights は、イベントデータストアの各リージョンで発生する管理イベントを分析し、ベースラインから逸脱する異常なアクティビティが検出されると Insights イベントを生成します。CloudTrail Insights イベントは、それをサポートする管理イベントが生成されるのと同じリージョンに生成されます。

組織イベントデータストアの場合、CloudTrail Insights は、各リージョンごとに組織内の各メンバーアカウントからの管理イベントを分析し、アカウントとリージョンのベースラインから逸脱する異常なアクティビティが検出されると Insights イベントを生成します。

CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡と CloudTrail Lake イベントデータストアの両方で Insights を有効にすると、別々に課金されます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。

Insights イベントをログに記録する送信先イベントデータストアを作成するには

Insights イベントデータストアを作成する場合、管理イベントをログに記録する既存のソースイベントデータストアを選択し、受信する Insights タイプを指定することができます。または、Insights イベントデータストアを作成した後に、新規または既存のイベントデータストアで Insights を有効にし、そのイベントデータストアを送信先イベントデータストアとして選択することもできます。

この手順は、Insights イベントをログに記録する送信先イベントデータストアを作成する方法を示しています。

  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

  2. ナビゲーションペインから [Lake] サブメニューを開き、[Event data stores] (イベントデータストア) を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail 料金表」と「CloudTrail Lake のコスト管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。イベントデータストアは指定された日数分、イベントデータを保存します。

  7. (オプション) AWS Key Management Service を使用した暗号化を有効にするには、[Use my own AWS KMS key] を選択します。[New] (新規) を選択して AWS KMS key を作成するか、[Existing] (既存) を選択して既存の KMS キーを使用します。[Enter KMS alias] (KMS エイリアスを入力) で、alias/MyAliasName のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「CloudTrail の AWS KMS キーポリシーの設定」を参照してください。CloudTrail は、AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自の KMS キーを使用すると、暗号化と復号に AWS KMS のコストがかかります。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、AWS Glue データカタログ内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。AWS Glue データカタログにあるテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み込み、および処理する方法を把握できるようになります。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、[リソースポリシーを有効化] を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「イベントデータストアのリソースベースのポリシーの例」を参照してください。

    リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否されるプリンシパルと、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。

    イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    組織イベントデータストアの場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示するデフォルトのリソースベースのポリシーを作成します。このポリシーのアクセス許可は、AWS Organizations の委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。

  10. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。AWS でタグを使用する方法の詳細については、「Tagging AWS Resources User Guide」にある「Tagging AWS resources」を参照してください。

  11. [次へ] を選択して、イベントデータストアを設定します。

  12. [イベントの選択] ページで [AWS イベント] を選択し、次に [CloudTrail Insights イベント] を選択します。

  13. [CloudTrail Insights イベント] で、次の手順を実行します。

    1. 組織の委任された管理者にこのイベントデータストアへのアクセス権を付与する場合は、[委任された管理者アクセスを許可] を選択します。このオプションは、AWS Organizations 組織の管理アカウントでサインインしている場合にのみ使用できます。

    2. (オプション) 管理イベントをログに記録する既存のソースイベントデータストアを選択し、受信したい Insights タイプを指定します。

      ソースイベントデータストアを追加するには、次の手順を実行します。

      1. [ソースイベントデータストアを追加] を選択します。

      2. ソースイベントデータストアを選択します。

      3. 受信したい [Insights タイプ] を選択します。

        • ApiCallRateInsight – Insight タイプ ApiCallRateInsight は、ベースライン API コール量に対して 1 分ごとに集計された書き込み専用の管理 API コールを分析します。ApiCallRateInsight で Insights を受信するには、ソースイベントデータストアが [書き込み] 管理イベントをログに記録する必要があります。

        • ApiErrorRateInsight – Insight タイプ ApiErrorRateInsight は、エラーコードを発生させた管理 API コールを分析します。API 呼び出しに失敗すると、エラーが表示されます。ApiErrorRateInsight で Insights を受信するには、ソースイベントデータストアが [書き込み] または [読み取り] の管理イベントをログに記録する必要があります。

      4. 受信したい Insights タイプを追加するには、前の 2 つのステップ (ii と iii) を繰り返します。

  14. [Next] (次へ) を選択して、選択内容を確認します。

  15. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  16. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

  17. ステップ 10 でソースイベントデータストアを選択しなかった場合は、Insights イベントを有効にするソースイベントデータストアを作成するには の手順に従ってソースイベントデータストアを作成します。

Insights イベントを有効にするソースイベントデータストアを作成するには

この手順は、Insights イベントを有効にするソースイベントデータストアを作成して管理イベントをログに記録する方法を示しています。

  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

  2. ナビゲーションペインから [Lake] サブメニューを開き、[Event data stores] (イベントデータストア) を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail 料金表」と「CloudTrail Lake のコスト管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの eventTime が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、eventTime が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。

  7. (オプション) AWS Key Management Service を使用した暗号化を有効にするには、[Use my own AWS KMS key] を選択します。[New] (新規) を選択して AWS KMS key を作成するか、[Existing] (既存) を選択して既存の KMS キーを使用します。[Enter KMS alias] (KMS エイリアスを入力) で、alias/MyAliasName のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「CloudTrail の AWS KMS キーポリシーの設定」を参照してください。CloudTrail は、AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自の KMS キーを使用すると、暗号化と復号に AWS KMS のコストがかかります。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、AWS Glue データカタログ内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。AWS Glue データカタログにあるテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み込み、および処理する方法を把握できるようになります。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、[リソースポリシーを有効化] を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「イベントデータストアのリソースベースのポリシーの例」を参照してください。

    リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否されるプリンシパルと、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。

    イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    組織イベントデータストアの場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示するデフォルトのリソースベースのポリシーを作成します。このポリシーのアクセス許可は、AWS Organizations の委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。

  10. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。AWS でタグを使用する方法の詳細については、「Tagging AWS Resources User Guide」にある「Tagging AWS resources」を参照してください。

  11. [次へ] を選択して、イベントデータストアを設定します。

  12. [イベントの選択] ページで [AWS イベント] を選択し、次に [CloudTrail イベント] を選択します。

  13. [CloudTrail イベント] では、[管理イベント] を選択したままにします。

  14. イベントデータストアが AWS Organizations 内のすべてのアカウントからのイベントを収集するようにするには、[Enable for all accounts in my organization] (組織内のすべてのアカウントについて有効化) を選択します。Insights を有効にするイベントデータストアを作成するには、その組織の管理アカウントにサインインする必要があります。

  15. [追加設定] を開き、イベントデータストアですべての AWS リージョン のイベントを収集するか、現在の AWS リージョン のイベントのみを収集するか、いずれかを選択し、イベントデータストアでイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。

    1. 現在のリージョンでログに記録されたイベントのみを含める場合は、[イベントデータストアに現在のリージョンのみを含める] を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。

    2. [イベントを取り込む] は選択したままにします。

  16. [シンプルなイベント収集] または [高度なイベント収集] を選択します。

    • すべてのイベントをログに記録する場合、読み取りイベントのみをログに記録する場合、または書き込みイベントのみをログに記録する場合は、[シンプルなイベント収集] を選択します。AWS Key Management Service および Amazon RDS Data API イベントを除外することもできます。

    • eventNameeventTypeeventSourcesessionCredentialFromConsoleuserIdentity.arn などの高度なイベントセレクターフィールドの値に基づいて管理イベントを含めるか除外する場合は、[高度なイベント収集] を選択します。

  17. [シンプルなイベント収集] を選択した場合、すべてのイベントをログに記録する、読み取りイベントのみをログに記録する、または書き込みイベントのみをログに記録するかを選択します。AWS KMS および Amazon RDS Data API イベントを除外することを選択することもできます。

  18. [高度なイベント収集] を選択した場合は、次の選択を行います。

    1. [ログセレクタテンプレート] で、事前定義されたテンプレートを選択するか、[カスタム] を選択して、高度なイベントセレクタフィールドの値に基づいて独自のイベント収集条件を書き込みます。

      次の定義済みテンプレートから選択できます。

      • [すべてのイベントをログに記録する] – このテンプレートを選択すると、すべてのイベントを記録します。

      • [読み取りイベントのみをログに記録する] – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。

      • [書き込みイベントのみをログに記録する] – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。

      • [AWS マネジメントコンソール イベントのみをログに記録する] – このテンプレートを選択すると、AWS マネジメントコンソール から発生したイベントのみを記録します。

      • [AWS のサービス によって開始されたイベントを除外する] – このテンプレートを選択すると、eventTypeAwsServiceEvent の AWS のサービス イベントと、AWS のサービス にリンクされたロール (SLR) で開始されたイベントを除外できます。

    2. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「AWS マネジメントコンソール セッションからのログ管理イベント」など、高度なイベントセレクタの説明的な名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

    3. [カスタム] を選択した場合、高度なイベントセレクタで、高度なイベントセレクタフィールド値に基づいて式を構築してください。

      注記

      セレクタは、* のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、StartsWithEndsWithNotStartsWith、または NotEndsWith を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。

      1. 次のフィールドから選択します。

        • readOnly - readOnly は、[次と等しい] として true または false の値に設定できます。false に設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。読み取りイベントと書き込みイベントの両方を記録するには、readOnly セレクタを追加しないでください。

        • eventName - eventName では、任意の演算子を使用できます。これを使用して、CreateAccessPointGetAccessPoint などの管理イベントを含めたり除外したりします。

        • userIdentity.arn – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、CloudTrail userIdentity 要素を参照してください。

        • sessionCredentialFromConsole – AWS マネジメントコンソール セッションから発生したイベントを含めるか、除外します。このフィールドは、true の値で [次と等しい] または [次と等しくない] に設定できます。

        • eventSource – これを使用して、特定のイベントソースを含めたり除外したりできます。eventSource は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。例えば、eventSource [次と等しい]ec2.amazonaws.com に設定して、Amazon EC2 管理イベントのみをログに記録できます。

        • eventType – 含めるまたは除外するイベントタイプ。例えば、このフィールドを [次と等しくない] AwsServiceEvent に設定して、AWS のサービスイベントを除外できます。

      2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

        CloudTrail が複数の条件を評価する方法については、「CloudTrail がフィールドの複数の条件を評価する方法」を参照してください。

        注記

        イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

    4. オプションで、[JSON view] (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。

  19. Insights イベントキャプチャを有効にする を選択します。

  20. Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。

  21. Insights タイプを選択します。[API コールレート][API エラー率] のいずれかまたは両方を選択できます。[API コール率] の Insights イベントをログに記録するには、[Write] 管理イベントをログ記録している必要があります。[API エラー率] の Insights イベントをログに記録するには、[Read] または [Write] 管理イベントをログ記録している必要があります。

  22. [次へ] を選択し、リソースタグキーと IAM グローバル条件キーを追加して、イベントを強化します。

  23. [イベントを強化する] で、最大 50 個のリソースタグキーと 50 個の IAM グローバル条件キーを追加して、イベントに関する追加のメタデータを提供します。これにより、関連するイベントを分類して整理できます。

    リソースタグキーを追加すると、CloudTrail には API コールに関係したリソースに関連する選択したタグキーが含まれます。削除されたリソースに関連する API イベントにはリソースタグはありません。

    IAM グローバル条件キーを追加すると、CloudTrail には、プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加情報など、承認プロセス中に評価された選択した条件キーに関する情報が含まれます。

    リソースタグキーと IAM グローバル条件キーに関する情報は、イベントの eventContext フィールドに表示されます。詳細については、「リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する」を参照してください。

    注記

    イベントにイベントリージョンに属さないリソースが含まれている場合、タグの取得はイベントリージョンに制限されているため、CloudTrail はこのリソースのタグを入力しません。

  24. [イベントサイズの拡張] を選択して、イベントペイロードを 256 KB から最大 1 MB まで拡張します。このオプションは、追加したすべてのキーがイベントに含まれるようにリソースタグキーまたは IAM グローバル条件キーを追加すると、自動的に有効になります。

    イベントサイズを拡大すると、イベントペイロードが 1 MB 未満であれば、次のフィールドの完全なコンテンツを表示できるため、イベントの分析やトラブルシューティングに役立ちます。

    • annotation

    • requestID

    • additionalEventData

    • serviceEventDetails

    • userAgent

    • errorCode

    • responseElements

    • requestParameters

    • errorMessage

    これらのフィールドの詳細については、「CloudTrail レコードの内容」を参照してください。

  25. [Next] (次へ) を選択して、選択内容を確認します。

  26. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  27. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    イベントデータストアは、この時点以降の高度なイベントセレクタに一致するイベントを取得します。ソースイベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。

    送信先イベントデータストアの Insights イベントを可視化するために、CloudTrail Lake ダッシュボードを表示することができます。Lake ダッシュボードの詳細については、「CloudTrail Lake ダッシュボード」を参照してください。

CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。