管理イベントを記録する証跡を作成する - AWS CloudTrail

管理イベントを記録する証跡を作成する

最初の証跡では、すべての管理イベントをログ記録し、データイベントあるいは Insights イベントはログに記録しない証跡を作成することをお勧めします。管理イベントの例には、IAM CreateUserAttachRolePolicy イベントなどのセキュリティイベント、RunInstancesCreateBucket などのリソースイベントが含まれています。CloudTrail コンソールで証跡を作成する一部として、証跡のログファイルを保存する Amazon S3 バケットを作成します。

注記

AWS Control Tower は、ランディングゾーンが設定されるときに、新しい CloudTrail 証跡ログ管理イベントを設定します。これは組織レベルの証跡であり、組織内の管理アカウントとすべてのメンバーアカウントに関する全ての管理イベントがログ記録されます。詳細については、「AWS CloudTrail ユーザーガイド」の「About logging in AWS Control Tower」を参照してください。

このチュートリアルでは、最初の証跡を作成することを前提としています。AWS アカウントにある証跡の数、およびそれらの証跡の設定方法に応じて、次の手順で費用が発生する場合と発生しない場合があります。CloudTrail はログファイルを Amazon S3 バケットに格納します。これには料金が発生します。料金の詳細については、「AWS CloudTrail の料金」および「Amazon S3 の料金」を参照してください。

追跡を作成するには

  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

  2. [Region] (リージョン) セレクタで、追跡を作成する AWS リージョンを選択します。これは、証跡のホームリージョン です。

    注記

    作成後に証跡を更新できる AWS リージョンは、ホームリージョンのみです。

  3. CloudTrail サービスのホームページ、[証跡] ページ、または [ダッシュボード] ページの [証跡] セクションで、[証跡の作成] を選択します。

  4. [証跡名] で、証跡に management-events などの名前を付けます。追跡の目的をすぐに識別できる名前を使用するのがベストプラクティスです。この例では、管理イベントをログに記録する追跡を作成しています。

  5. [組織内のすべてのアカウントで有効化] は、デフォルト設定のままにします。このオプションは、Organizations でアカウントを設定しない限り、変更できません。

  6. [ストレージの場所] で、[新しい S3 バケットを作成する] を選択すると、新しいバケットが作成されます。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。新しい S3 バケットを作成する場合は、デフォルトでバケットのサーバー側の暗号化が有効になっているため、IAM ポリシーに s3:PutEncryptionConfiguration アクションへのアクセス許可を含める必要があります。識別しやすい名前をバケットに付けます。

    ログを見つけやすくするために、新しいフォルダ (プレフィックスとも呼ばれます) を既存のバケットに作成して CloudTrail ログを保存します。

    注記

    Amazon S3 バケットの名前はグローバルで一意であることが必要です。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの名前付け」を参照してください。

  7. [ログファイル SSE-KMS 暗号化] を無効にするには、このチェックボックスをオフにします。デフォルトでは、SSE-S3 の暗号化を使用して、ログファイルが暗号化されます。この設定の詳細については、「Using server-side encryption with Amazon S3 managed keys (SSE-S3)」を参照してください。

  8. [Additional settings] はデフォルト設定のままにします。

  9. [CloudWatch ログ] のデフォルト設定はそののままにします。ここでは、Amazon CloudWatch Logs にログを送信しないでください。

  10. (オプション) [タグ] セクションでは、証跡を特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグは、CloudTrail ログファイルを含む Amazon S3 バケットなど、CloudTrail 証跡やその他のリソースを識別するのに役立ちます。例えば、Compliance という名前の Auditing という値のタグをアタッチできます。

    注記

    CloudTrail コンソールで証跡を作成するときにタグを追加でき、Amazon S3 バケットを作成して CloudTrail コンソールにログファイルを保存できますが、CloudTrail コンソールから Amazon S3 バケットにタグを追加することはできません。バケットへのタグの追加など、Amazon S3 バケットのプロパティの表示と変更の詳細については、「Amazon S3 ユーザーガイド」を参照してください。

    タグの作成が完了したら、[Next] をクリックします。

  11. [Choose log events] ページで、ログに記録するイベントタイプを選択します。この証跡では、[管理イベント] はそのままにしておきます。[管理イベント] 領域で、[読み取り] および [書き込み] イベントの両方をログに記録することをまだ選択していない場合は、選択します。すべての管理イベントのログを記録するため、[AWS KMS イベントを除外][Amazon RDS Data API イベントを除外] のチェックボックスは外したままにします。

    [証跡の作成] ページ、[イベントタイプ] の設定

  12. [データイベント][Insights イベント][ネットワークアクティビティイベント] 設定はデフォルトのままにしておきます。この証跡は、データイベント、Insights イベント、ネットワークアクティビティイベントを記録しません。[次へ] を選択します。

  13. [確認と作成] ページで、詳細用に選択した設定を確認します。戻って変更するには、セクションの [Edit] を選クリックします。証跡を作成する準備ができたら、[Create trail] を選択します。

  14. [証跡] ページには、新しい証跡がテーブルに表示されます。トレイルはマルチリージョン証跡に設定され、ログ記録はデフォルトで有効になっています。

    [証跡の作成] ページ、[イベントタイプ] の設定

証跡の詳細については、「CloudTrail 証跡の使用」を参照してください。