S3 データイベント用にイベントデータストアを作成する - AWS CloudTrail

S3 データイベント用にイベントデータストアを作成する

イベントデータストアを作成して、CloudTrail イベント (管理イベント、データイベント)、CloudTrail Insights イベントAWS Audit Manager の証拠AWS Config の構成項目、または AWS 以外のイベントをログ記録できます。

データイベント用のイベントデータストアを作成する際に、データイベントをログに記録する AWS のサービス とリソースの種類を選択します。データイベントをログに記録する AWS のサービス の詳細については、「データイベント」を参照してください。

このチュートリアルでは、Amazon S3 データイベントのイベントデータストアを作成する方法を説明します。このチュートリアルでは、すべての Amazon S3 データイベントをログに記録するのではなく、カスタムログセレクターテンプレートを選択し、特定の S3 バケットからオブジェクトが削除された場合にのみイベントのログを記録します。

S3 データイベント用にイベントデータストアを作成するには

  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [イベントデートストアの設定] ページの [全般の詳細] で、たとえば s3-data-events-eds とイベントデートストアに命名します。イベントデートストアの意図をすぐに識別できる名前を使用するのがベストプラクティスです。CloudTrail の命名要件については、CloudTrail リソース、Amazon S3 バケット、KMS キーの命名要件 を参照してください。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail 料金表」と「CloudTrail Lake のコスト管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの eventTime が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、eventTime が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。

  7. (オプション) [暗号化] で、独自の KMS キーを使用してイベントデータストアを暗号化するかどうかを選択します。デフォルトでは、CloudTrail は AWS が所有および管理する KMS キーを使用してイベントデータストア内のすべてのイベントを暗号化します。

    独自の KMS キーを使用して暗号化を有効にするには、[独自の AWS KMS key を使用する] を選択します。[New] (新規) を選択して AWS KMS key を作成するか、[Existing] (既存) を選択して既存の KMS キーを使用します。[Enter KMS alias] (KMS エイリアスを入力) で、alias/MyAliasName のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して CloudTrail ログの暗号化と復号を許可する必要があります。詳細については、「CloudTrail の AWS KMS キーポリシーの設定」を参照してください。CloudTrail は、AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自の KMS キーを使用すると、暗号化と復号に AWS KMS のコストがかかります。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、AWS Glue データカタログ内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。AWS Glue データカタログにあるテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み込み、および処理する方法を把握できるようになります。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、[リソースポリシーを有効化] を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「イベントデータストアのリソースベースのポリシーの例」を参照してください。

    リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否されるプリンシパルと、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。

    イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    組織イベントデータストアの場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示するデフォルトのリソースベースのポリシーを作成します。このポリシーのアクセス許可は、AWS Organizations の委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。

  10. (オプション) [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) をデータセットに追加します。タグは CloudTrail イベントデータストアを識別するのに役立ちます。例えば、stage という名前の prod という値のタグをアタッチできます。タグを使用して、イベントデータストアへのアクセスを制限できます。タグを使用して、イベントデータストアのクエリコストと取り込みコストを追跡することもできます。

    タグを使用してコストを追跡する方法については、「CloudTrail Lake イベントデータストア用のユーザー定義コスト配分タグの作成」を参照してください。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。AWS でタグを使用する方法については、「Tagging AWS Resources User Guide」にある「Tagging your AWS resources」を参照してください。

  11. [次へ] を選択して、イベントデータストアを設定します。

  12. [イベントの選択]ページで、[イベントタイプ] はデフォルトの選択のままにします。

    イベントデートストアのイベントタイプを選択します。

  13. [CloudTrail イベント]で、[データイベント] を選択し、[管理イベント] を選択解除します。データイベントの詳細については、「データイベントをログ記録する」を参照してください。

    イベントデータストアの CloudTrail データイベントを選択する

  14. [証跡イベントのコピー] は、デフォルト設定のままにします。このオプションを使用して、既存の証跡イベントをイベントデータストアにコピーします。詳細については、「イベントデータストアへ証跡イベントをコピーします」を参照してください。

  15. 組織のイベントデートストアの場合は、[組織内の全アカウントで有効にする] を選択します。このオプションは、AWS Organizations でアカウントを設定していない場合は変更できません。

  16. [追加設定] は、デフォルトの選択のままにします。デフォルトでは、イベントデータストアは作成されたときに、すべての AWS リージョン イベントを収集し、イベントの取り込みを開始します。

  17. [データイベント]で、次のように項目を選びます。

    1. [リソースタイプ] で、[S3] を選択します。リソースタイプにより、データイベントがログに記録される AWS のサービス とリソースが識別されます。

    2. [ログセレクターテンプレート]、で [カスタム] を選択します。[カスタム] を選択すると、eventNameresources.ARNreadOnly フィールドのフィルタリングを行うカスタムイベントセレクターを定義できます。これらのフィールドの詳細については、「AWS CloudTrail API リファレンス」の「AdvancedFieldSelector」を参照してください。

    3. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクター名は、「特定の S3 バケットについて DeleteObject API 呼び出しをログに記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

      展開された [JSON ビュー] で高度なイベントセレクターが表示された状態

    4. [高度なイベントセレクター] で、eventNameresources.ARN フィールドにフィルタリングを行うカスタムイベントセレクタを構成します。イベントデータストアの高度なイベントセレクタは、証跡に適用する高度なイベントセレクタと同じように機能します。高度なイベントセレクタを作成する方法の詳細については、「高度なイベントセレクタを使用してデータイベントを記録する」を参照してください。

      1. [フィールド] に、[eventName] を選択します。[オペレーター]に、[equals] を選択します。[Value] (値) に「DeleteObject」と入力します。[フィールド追加] を選択し、他のフィールドにフィルタリングを行います。

      2. [フィールド]に、[resources.ARN] を選択します。[フィールド] に、[StartsWith] を選択します。[値] には、バケットの ARN を入力します (例: arn:aws:s3:::amzn-s3-demo-bucket)。ARN の取得方法については、「Amazon シンプルストレージサービスユーザーガイド」で「Amazon S3 リソース」を参照してください。

    S3 データイベント設定

  18. [Next] (次へ) を選択して、選択内容を確認します。

  19. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  20. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    イベントデータストアは、この時点以降の高度なイベントセレクタに一致するイベントを取得します。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントをコピーすることを選択しない限り、イベントデータストアには保存されません。

イベントデータストアに対してクエリを実行できるようになりました。サンプルクエリを表示および実行する方法については、CloudTrail コンソールにサンプルクエリを表示する を参照してください。

CloudTrail Lake の詳細については、「AWS CloudTrail Lake の使用」を参照してください。