View a markdown version of this page

を使用した Amazon Managed Blockchain (AMB) アクセスポリゴンイベントのログ記録 AWS CloudTrail - AMB アクセスポリゴン
CloudTrail の AMB アクセスポリゴン情報AMB Access Polygon ログファイルエントリについて

Amazon Managed Blockchain (AMB) Access Polygon はプレビューリリースであり、変更される可能性があります。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した Amazon Managed Blockchain (AMB) アクセスポリゴンイベントのログ記録 AWS CloudTrail

注記

Amazon Managed Blockchain (AMB) Access Polygon は管理イベントをサポートしていません。

Amazon Managed Blockchain は AWS CloudTrail、Managed Blockchain のユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスで実行されます。CloudTrail は、マネージドブロックチェーンの AMB Access Polygon エンドポイントをデータプレーンイベントとして呼び出したユーザーをキャプチャします。

必要なデータプレーンイベントを受信するためにサブスクライブされている適切に設定された証跡を作成すると、AMB Access Polygon 関連の CloudTrail イベントを S3 バケットに継続的に配信できます。CloudTrail によって収集された情報を使用して、AMB Access Polygon エンドポイントの 1 つ、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細に対してリクエストが行われたかどうかを判断できます。

CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail の AMB アクセスポリゴン情報

CloudTrail は、作成 AWS アカウント 時に で有効になります。ただし、AMB Access Polygon エンドポイントを呼び出したユーザーを表示するようにデータプレーンイベントを設定する必要があります。

AMB Access Polygon のイベントなど AWS アカウント、 のイベントの継続的な記録については、証跡を作成します。trail 、CloudTrail はログファイルを S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティションでサポートされているすべてのリージョンからのイベントをログに記録し、指定した S3 バケットにログファイルを配信します。さらに、他の を設定 AWS のサービス してさらに分析し、CloudTrail ログで収集されたイベントデータに対応できます。詳細については、次を参照してください:

CloudTrail データイベントを分析することで、AMB Access Polygon エンドポイントを呼び出したユーザーをモニタリングできます。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。

  • リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか

  • リクエストが別の によって行われたかどうか AWS のサービス

詳細については、「CloudTrail userIdentity エレメント」を参照してください。

AMB Access Polygon ログファイルエントリについて

データプレーンイベントの場合、証跡は、指定された S3 バケットにイベントをログファイルとして配信できるようにする設定です。各 CloudTrail ログファイルには、任意のソースからの 1 つのリクエストを表す 1 つ以上のログエントリが含まれます。これらのエントリは、アクションの日時、関連するリクエストパラメータなど、リクエストされたアクションに関する詳細を提供します。

注記

ログファイルの CloudTrail データイベントは、AMB Access Polygon API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

CloudTrail を使用して多角形 JSON-RPCs

CloudTrail を使用して、アカウント内の誰が AMB Access Polygon エンドポイントを呼び出し、どの JSON-RPC がデータイベントとして呼び出されたかを追跡できます。デフォルトでは、証跡を作成すると、データイベントはログに記録されません。AMB Access Polygon エンドポイントを呼び出したユーザーを CloudTrail データイベントとして記録するには、アクティビティを収集するサポートされているリソースまたはリソースタイプを証跡に明示的に追加する必要があります。AMB Access Polygon は AWS マネジメントコンソール、、 AWS CLI、および SDK を使用したデータイベントの追加をサポートしています。詳細については、「 AWS CloudTrail ユーザーガイド」の「高度なセレクタを使用してイベントをログに記録する」を参照してください。

証跡のデータイベントをログに記録するには、証跡の作成後に put-event-selectors オペレーションを使用します。--advanced-event-selectors オプションを使用してリソースAWS::ManagedBlockchain::Networkタイプを指定し、データイベントのログ記録を開始して、誰が AMB Access Polygon エンドポイントを呼び出したかを判断します。

例アカウントのすべての AMB Access Polygon エンドポイントリクエストのデータイベントログエントリ

次の例は、 put-event-selectorsオペレーションを使用して、 us-east-1リージョンmy-polygon-trailの証跡に対するアカウントの AMB Access Polygon エンドポイントリクエストをすべてログに記録する方法を示しています。

aws cloudtrail put-event-selectors \                                                                                                         
--region us-east-1 \
--trail-name my-polygon-trail  \
--advanced-event-selectors '[{
    "Name": "Test",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::ManagedBlockchain::Network"] } ]}]'

サブスクライブすると、前の例で指定した証跡に接続されている S3 バケットの使用状況を追跡できます。

次の結果は、CloudTrail によって収集された情報の CloudTrail データイベントログエントリを示しています。Polygon JSON-RPC リクエストが AMB Access Polygon エンドポイントの 1 つ、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細に対して行われたかどうかを判断できます。次の例の一部の値はセキュリティ上の理由から難読化されていますが、実際のログエントリに完全に表示されます。

{
        "eventVersion": "1.09",
        "userIdentity": {
            "type": "AssumedRole",
            "principalId": "AROA554UO62RJ7KSB7FAX:777777777777",
            "arn": "arn:aws:sts::111122223333:assumed-role/Admin/777777777777",
            "accountId": "111122223333"
        },
        "eventTime": "2023-04-12T19:00:22Z",
        "eventSource": "managedblockchain.amazonaws.com",
        "eventName": "gettxout",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "111.222.333.444",
        "userAgent": "python-requests/2.28.1",
        "errorCode": "-",
        "errorMessage": "-",
        "requestParameters": {
            "jsonrpc": "2.0",
            "method": "gettxout",
            "params": [],
            "id": 1
        },
        "responseElements": null,
        "requestID": "DRznHHEj********",
        "eventID": "baeb232d-2c6b-46cd-992c-0e40********",
        "readOnly": true,
        "resources": [{
            "type": "AWS::ManagedBlockchain::Network",
            "ARN": "arn:aws:managedblockchain:::networks/n-polygon-mainnet"
        }],
        "eventType": "AwsApiCall",
        "managementEvent": false,
        "recipientAccountId": "111122223333",
        "eventCategory": "Data"
}