AWS CloudTrail での監査ログへのアクセス - Amazon Managed Workflows for Apache Airflow
CloudTrail で追跡を作成するCloudTrail Event 履歴でのイベントへのアクセスCreateEnvironment のトレイルの例次のステップ

AWS CloudTrail での監査ログへのアクセス

AWS CloudTrail は、作成時に AWS アカウント で有効になります。CloudTrail は、IAM エンティティまたは AWS サービス (Amazon Managed Workflows for Apache Airflow など) によって実行されたアクティビティを記録し、CloudTrail イベントとして記録します。CloudTrail コンソールでは、過去 90 日間のイベント履歴を表示、検索、ダウンロードできます。CloudTrail は Amazon MWAA コンソールのすべてのイベントと Amazon MWAA API へのすべての呼び出しをキャプチャします。GetEnvironment などの読み取り専用アクションや PublishMetrics アクションはキャプチャされません。このページでは、CloudTrail を使用して Amazon MWAA のイベントをモニタリングする方法について説明します。

CloudTrail で追跡を作成する

Amazon MWAA のイベントなどの AWS アカウント のイベントの継続的な記録については、証跡を作成する必要があります。[Trail] (追跡) により、CloudTrail はログファイルを Simple Storage Service (Amazon S3) バケットに配信できます。証跡を作成しない場合でも、CloudTrail コンソールで入手可能なイベント履歴にアクセスできます。例えば、CloudTrail により収集された情報を使用して、Amazon MWAA に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時、および追加の詳細を特定することができます。詳細については、AWS アカウントの証跡の作成 を参照してください。

CloudTrail Event 履歴でのイベントへのアクセス

CloudTrail コンソールで過去 90 日間の運用およびセキュリティインシデントのトラブルシューティングを行うには、[イベント履歴] を表示します。例えば、リージョンごとに AWS アカウント でのリソース (IAM ユーザーまたはその他の AWS リソースなど) の作成、変更、または削除に関連するイベントにアクセスできます。詳細については、Accessing Events with CloudTrail Event History (CloudTrail イベント履歴でのイベントのアクセス) を参照してください。

  1. CloudTrail コンソールを開きます。

  2. イベント履歴 を選択します。

  3. 表示したいイベントを選択し、イベントの詳細を比較 を選択します。

CreateEnvironment のトレイルの例

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。

CloudTrail のログファイルには、ログエントリが 1 つ以上あります。イベントは、あらゆるソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、およびリクエストパラメータなどに関する情報が含まれています。CloudTrail ログファイルは、公開 API コールの順序付けられたスタックトレースではなく、特定の順序でリストされていません。次の例では、アクセス許可がないために拒否された CreateEnvironment アクションのログエントリを示します。AirflowConfigurationOptions 内の値は、プライバシー保護のために編集されています。

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "00123456ABC7DEF8HIJK",
    "arn": "arn:aws:sts::012345678901:assumed-role/root/myuser",
    "accountId": "012345678901",
    "accessKeyId": "",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "00123456ABC7DEF8HIJK",
        "arn": "arn:aws:iam::012345678901:role/user",
        "accountId": "012345678901",
        "userName": "user"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2020-10-07T15:51:52Z"
      }
    }
  },
  "eventTime": "2020-10-07T15:52:58Z",
  "eventSource": "airflow.amazonaws.com",
  "eventName": "CreateEnvironment",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "205.251.233.178",
  "userAgent": "PostmanRuntime/7.26.5",
  "errorCode": "AccessDenied",
  "requestParameters": {
    "SourceBucketArn": "arn:aws:s3:::my-bucket",
    "ExecutionRoleArn": "arn:aws:iam::012345678901:role/AirflowTaskRole",
    "AirflowConfigurationOptions": "***",
    "DagS3Path": "sample_dag.py",
    "NetworkConfiguration": {
      "SecurityGroupIds": [
      "sg-01234567890123456"
      ],
      "SubnetIds": [
        "subnet-01234567890123456",
        "subnet-65432112345665431"
      ]
    },
    "Name": "test-cloudtrail"
  },
  "responseElements": {
    "message": "Access denied."
  },
  "requestID": "RequestID",
  "eventID": "EventID",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "recipientAccountId": "012345678901"
}

次のステップ