を使用したアプリケーションのログ記録とモニタリング AWS CloudTrail - AWS 規範ガイダンス
CloudTrail の使用CloudTrail のユースケースCloudTrail のベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用したアプリケーションのログ記録とモニタリング AWS CloudTrail

AWS CloudTrail は、 の運用およびリスク監査、ガバナンス、コンプライアンスを有効にする AWS のサービス のに役立つ です AWS アカウント。ユーザー、ロール、または によって実行されたアクション AWS のサービス は、イベントとして CloudTrail に記録されます。イベントには、、 AWS Command Line Interface (AWS CLI) AWS マネジメントコンソール、および AWS SDKs と APIs で実行されたアクションを含めることができます。

CloudTrail の使用

CloudTrail は、作成 AWS アカウント 時に で有効になります。でアクティビティが発生すると AWS アカウント、そのアクティビティは CloudTrail イベントに記録されます。イベント履歴に移動し、CloudTrail コンソールで簡単に最近のイベントを表示できます。

でのアクティビティとイベントの継続的な記録については AWS アカウント、証跡を作成します。1 つの AWS リージョン またはすべてのリージョンの証跡を作成できます。証跡は各リージョンのログファイルを記録し、CloudTrail はログファイルを単一の統合された Amazon Simple Storage Service (Amazon S3) バケットに配信します。

証跡が指定したイベントのみを処理してログに記録するように、複数の証跡を異なる方法で設定することができます。これは、 で発生したイベントを、アプリケーションで発生したイベント AWS アカウント でトリアージする場合に便利です。

注記

CloudTrail には検証機能があり、CloudTrail がログファイルを配信した後で、ログファイルが変更、削除されているか、もしくは変更されていないかを判断するために使用できます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。を使用して AWS CLI 、CloudTrail がファイルを配信した場所にあるファイルを検証できます。この機能の詳細と有効化の方法については、「CloudTrail ログファイルの整合性の検証」(CloudTrail ドキュメント) を参照してください。。

CloudTrail のユースケース

  • コンプライアンス支援 – CloudTrail を使用すると、 でイベントの履歴を提供することで、内部ポリシーと規制基準に準拠するのに役立ちます AWS アカウント。

  • セキュリティ分析 — CloudTrail ログファイルを CloudWatch Logs、Amazon EventBridge、Amazon Athena、Amazon OpenSearch Service、またはその他のサードパーティソリューションなどのログ管理および分析ソリューションに取り込むことで、セキュリティ分析を実行し、ユーザーの行動パターンを検出できます。

  • データ流出 — CloudTrail に記録されたオブジェクトレベルの API イベントを介して Amazon S3 オブジェクトのアクティビティデータを収集することで、データ流出を検出できます。アクティビティデータを収集したら、EventBridge や AWS のサービスなどの他の を使用して自動応答を AWS Lambdaトリガーできます。

  • 運用上の問題のトラブルシューティング — CloudTrail ログファイルを使用して、運用上の問題をトラブルシューティングできます。たとえば、リソースの作成、変更、削除など、環境内の AWS リソースに加えられた最新の変更をすばやく特定できます。

CloudTrail のベストプラクティス

  • すべての AWS リージョンの CloudTrail を有効にします。

  • ログファイルの整合性検証を有効にします。

  • ログを暗号化します。

  • CloudTrail ログファイルを CloudWatch Logs に取り込みます。

  • すべての AWS アカウント および リージョンからのログを一元化します。

  • ログファイルを含む S3 バケットにライフサイクルポリシーを適用します。

  • ユーザーが CloudTrail でロギングをオフにできないようにします。次のサービスコントロールポリシー (SCP) を に適用します AWS Organizations。この SCP は、組織全体の StopLogging および DeleteTrail アクションに明示的な拒否ルールを設定します。

    {
"Version": "2012-10-17",		 	 	 
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}