翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# での監査ログへのアクセス AWS CloudTrail
AWS CloudTrail は、作成 AWS アカウント 時に で有効になります。CloudTrail は、CloudTrail イベントとして記録される Amazon Managed Workflows for Apache Airflow などの IAM エンティティまたは AWS サービスによって実行されたアクティビティを記録します。CloudTrail コンソールでは、過去 90 日間のイベント履歴を表示、検索、ダウンロードできます。CloudTrail は Amazon MWAA コンソールのすべてのイベントと Amazon MWAA API へのすべての呼び出しをキャプチャします。`GetEnvironment` などの読み取り専用アクションや `PublishMetrics` アクションはキャプチャされません。このページでは、CloudTrail を使用して Amazon MWAA のイベントをモニタリングする方法について説明します。
**Contents**
+ [CloudTrail で追跡を作成する](#monitoring-cloudtrail-create)
+ [CloudTrail Event 履歴でのイベントへのアクセス](#monitoring-cloudtrail-view)
+ [`CreateEnvironment` のトレイルの例](#monitoring-cloudtrail-logs-ex)
+ [次のステップ](#monitoring-cloudtrail-next-up)
## CloudTrail で追跡を作成する
Amazon MWAA のイベントなど AWS アカウント、 のイベントの継続的な記録にアクセスするには、証跡を作成する必要があります。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。証跡を作成しない場合でも、CloudTrail コンソールで入手可能なイベント履歴にアクセスできます。例えば、CloudTrail により収集された情報を使用して、Amazon MWAA に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時、および追加の詳細を特定することができます。詳細については、[AWS アカウントの証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) を参照してください。
## CloudTrail Event 履歴でのイベントへのアクセス
CloudTrail コンソールで過去 90 日間の運用およびセキュリティインシデントのトラブルシューティングを行うには、[イベント履歴] を表示します。例えば、 内のリソース (IAM ユーザーや他の AWS リソースなど) の作成、変更、または削除に関連するイベントには AWS アカウント 、リージョンごとにアクセスできます。詳細については、[Accessing Events with CloudTrail Event History](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) (CloudTrail イベント履歴でのイベントのアクセス) を参照してください。
1. [CloudTrail](https://console.aws.amazon.com/cloudtrail/home#) コンソールを開きます。
1. **イベント履歴** を選択します。
1. 表示したいイベントを選択し、**イベントの詳細を比較** を選択します。
## `CreateEnvironment` のトレイルの例
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。
CloudTrail のログファイルには、ログエントリが 1 つ以上あります。イベントは、あらゆるソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、およびリクエストパラメータなどに関する情報が含まれています。CloudTrail ログファイルは、公開 API コールの順序付けられたスタックトレースではなく、特定の順序でリストされていません。次の例では、アクセス許可がないために拒否された `CreateEnvironment` アクションのログエントリを示します。`AirflowConfigurationOptions` 内の値は、プライバシー保護のために編集されています。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "00123456ABC7DEF8HIJK",
"arn": "arn:aws:sts::012345678901:assumed-role/root/myuser",
"accountId": "012345678901",
"accessKeyId": "",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "00123456ABC7DEF8HIJK",
"arn": "arn:aws:iam::012345678901:role/user",
"accountId": "012345678901",
"userName": "user"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-10-07T15:51:52Z"
}
}
},
"eventTime": "2020-10-07T15:52:58Z",
"eventSource": "airflow.amazonaws.com",
"eventName": "CreateEnvironment",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.178",
"userAgent": "PostmanRuntime/7.26.5",
"errorCode": "AccessDenied",
"requestParameters": {
"SourceBucketArn": "arn:aws:s3:::my-bucket",
"ExecutionRoleArn": "arn:aws:iam::012345678901:role/AirflowTaskRole",
"AirflowConfigurationOptions": "***",
"DagS3Path": "sample_dag.py",
"NetworkConfiguration": {
"SecurityGroupIds": [
"sg-01234567890123456"
],
"SubnetIds": [
"subnet-01234567890123456",
"subnet-65432112345665431"
]
},
"Name": "test-cloudtrail"
},
"responseElements": {
"message": "Access denied."
},
"requestID": "RequestID",
"eventID": "EventID",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678901"
}
```
## 次のステップ
+ CloudTrail がサポートする AWS サービスと統合の CloudTrail ログで収集されたイベントデータ用に他の サービスを設定する方法について説明します。 [CloudTrail ](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ CloudTrail が Amazon S3 バケットに新しいログファイルを発行するときに通知を受け取る方法については、[CloudTrail 用の Amazon SNS 通知の設定](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/getting_notifications_top_level.html) をご参照ください。