AWS Directory Serviceを使用したAWS CloudTrailAPI コールのログ記録 - AWS Directory Service
CloudTrail での AWS Managed Microsoft AD の情報AWS Managed Microsoft AD ログファイルエントリについて

AWS Directory Serviceを使用したAWS CloudTrailAPI コールのログ記録

AWS Managed Microsoft AD API は AWS (AWS アカウント 内の AWS CloudTrail Managed Microsoft AD によって、または、それに代わって行われた API 呼び出しをキャプチャし、指定した Amazon S3 バケットにログファイルを渡すサービス) と統合されています。CloudTrail は、AWS Managed Microsoft AD コンソールと AWS Managed Microsoft AD API のコードコールからの API コールをキャプチャーします。CloudTrail によって収集された情報を使用して、AWS Managed Microsoft AD に対して行われた要求、要求が行われたソース IP アドレス、要求を行ったユーザー、いつ行われたかなどを判別できます。CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail での AWS Managed Microsoft AD の情報

CloudTrail は、AWS アカウントを作成すると、その中で有効になります。AWS Managed Microsoft AD でアクティビティが発生すると、そのアクティビティは [イベント履歴] 内の他の AWS のサービスのイベントと共に CloudTrail イベントに記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS Managed Microsoft AD のイベントを含めた AWS アカウント 内でのイベントの継続的な記録には、証跡を作成します。証跡により、ログファイルを CloudTrail で Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、すべての AWS リージョンに証跡が適用されます。証跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づいて対応するため、他の AWS サービスを構成できます。詳細については、次を参照してください:

AWS アカウント で CloudTrail のログ記録を有効にすると、AWS Managed Microsoft AD アクションに対するすべての API 呼び出しがログファイルに記録されます。AWSManaged Microsoft AD レコードは、他の AWS のサービスレコードと一緒にログファイルに記録されます。CloudTrail は、期間とファイルサイズに基づいて、新しいファイルをいつ作成して書き込むかを決定します。Directory Service API または CLI コールに対して行われたすべてのコールは、CloudTrail によってログに記録されます。

各ログエントリには、誰がリクエストを生成したかに関する情報が含まれます。ログ内のユーザー ID 情報は、リクエストが、ルートまたは IAM ユーザーの認証情報を使用して送信されたか、ロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して送信されたか、あるいは別の AWS サービスによって送信されたかを確認するために役立ちます。詳細については、CloudTrail ログイベントリファレンス[userIdentity] フィールドを参照してください。

必要な場合はログファイルを自身のバケットに保管できますが、ログファイルを自動的にアーカイブまたは削除するにように Amazon S3 ライフサイクルルールを定義することもできます。デフォルトでは Amazon S3 のサーバー側の暗号化 (SSE) を使用して、ログファイルが暗号化されます。

ログファイルの配信時にすぐにアクションを実行したいときは、新しいログファイルが配信されるときに CloudTrail から Amazon SNS 通知を発行するよう選択します。詳細については、「Amazon SNS 通知の設定」を参照してください。

また、複数の AWS リージョンと AWS アカウント から AWS Managed Microsoft AD ログファイルを 1 つの Amazon S3 バケットに集約することもできます。詳細については、「CloudTrail ログファイルの単一の Amazon S3 バケットへの集約」を参照してください。

AWS Managed Microsoft AD ログファイルエントリについて

CloudTrail ログファイルには、それぞれが複数の JSON 形式イベントで構成される複数のログエントリを含む可能性があります。ログエントリは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、任意のパラメータ、アクションの日時などに関する情報を含みます。ログエントリは、特定の順序で生成されるわけではありません。つまり、パブリック API 呼び出しのスタックトレース順にはなりません。

パスワード、認証トークン、ファイルコメント、ファイルコンテンツなどの機密情報は、ログエントリには表示されません。

以下の例では、AWS Managed Microsoft AD の CloudTrail ログエントリの例を示します:

{
  "Records" : [
    {
      "eventVersion" : "1.02",
      "userIdentity" :
      {
        "type" : "IAMUser",
        "principalId" : "<user_id>",
        "arn" : "<user_arn>",
        "accountId" : "<account_id>",
        "accessKeyId" : "<access_key_id>",
        "userName" : "<username>"
      },
      "eventTime" : "<event_time>",
      "eventSource" : "ds.amazonaws.com",
      "eventName" : "CreateDirectory",
      "awsRegion" : "<region>",
      "sourceIPAddress" : "<IP_address>",
      "userAgent" : "<user_agent>",
      "requestParameters" :
      {
        "name" : "<name>",
        "shortName" : "<short_name>",
        "vpcSettings" :
        {
          "vpcId" : "<vpc_id>",
          "subnetIds" : [
            "<subnet_id_1>",
            "<subnet_id_2>"
          ]
        },
        "type" : "<size>",
        "setAsDefault" : <option>,
        "password" : "***OMITTED***"
      },
      "responseElements" :
      {
        "requestId" : "<request_id>",
        "directoryId" : "<directory_id>"
      },
      "requestID" : "<request_id>",
      "eventID" : "<event_id>",
      "eventType" : "AwsApiCall",
      "recipientAccountId" : "<account_id>"
    }
  ]
}