AWS CloudTrail はアカウントに対する AWS API 呼び出しを記録し、ログファイルを配信するウェブサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出し元のソース IP アドレス、リクエストのパラメータ、および AWS サービスから返された応答の要素が含まれます。

CloudTrail を使用すると、アカウントの AWS API の呼び出し履歴を取得できます。履歴には、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、高レベルの AWS サービス(AWS CloudFormation など)を使用した API の呼び出しが含まれます。CloudTrail で生成される AWS API の呼び出し履歴を利用して、セキュリティの分析、リソース変更の追跡、およびコンプライアンスの監査を行うことができます。

AWS を無料でお試しください

まずは無料で始める »
またはコンソールにサインイン

12 か月間の AWS 無料利用枠と、24 時間年中無休のカスタマーサービスやサポートフォーラムなどの AWS の基本的なサポート機能を利用できます。

AWS アカウント作成の流れはこちら »

日本担当チームへお問い合わせ »




CloudTrail によって、AWS API の呼び出しが記録されるので、ユーザーアクティビティの可視性が向上します。例えば、特定のユーザーが特定の期間に実行した操作、特定のリソースに対して特定の期間に操作を実行したユーザー、特定のアクティビティのソース IP アドレス、不適切なアクセス許可のために失敗したアクティビティなどがわかるようになります。

CloudTrail はログファイルのストレージと送信に Amazon S3 を使用するので、堅牢で低コストな場所にログファイルを保存できます。Amazon S3 ライフサイクルの設定ルールを使用して、ストレージのコストをさらに削減することができます。例えば、古いログファイルを自動的に削除するルールや、Amazon Glacier に自動的にアーカイブするルールを定義することで、さらにコストを削減できます。

CloudTrail は完全に管理されているサービスです。AWS マネジメントコンソール、コマンドラインインターフェイス、または CloudTrail SDK を使用してアカウントの CloudTrail を有効にするだけで、指定した Amazon Simple Storage Service(Amazon S3)バケットに CloudTrail ログファイルが送信されます。

CloudTrail は、ログファイルが送信されるたびに通知を発行するように設定できるので、ログファイルの送信に応じて自動的に処理を実行できます。CloudTrail は通知 Amazon Simple Notification Service(SNS)を使用します。

AlertLogic、Boundary、Loggly、Splunk、Sumologic など、複数のパートナーが CloudTrail ログファイルを分析する統合ソリューションを提供しています。これらのソリューションには、変更の追跡、トラブルシューティング、セキュリティ分析などの機能が含まれています。詳細については、CloudTrail パートナーのセクションを参照してください。

CloudTrail は、複数のアカウントとリージョンについてログファイルを集計し、ログファイルが 1 のバケットに送信されるように設定できます。詳細な手順については、ユーザーガイドの「Aggregating CloudTrail Log Files to a Single Amazon S3 Bucket」セクションを参照してください。

CloudTrail は、可用性と耐障害性の高い処理パイプラインを使用して、AWS サービスからのイベントを継続的に転送しています。通常、CloudTrail は、API の呼び出しから 15 分以内にイベントを送信します。

AWS アカウントに対してキャプチャされた API アクティビティを確認することで、運用上の問題を解決したり、またはセキュリティ解析を実行したりできます。AWS CloudTrail コンソール、AWS CLI、AWS SDK を使用して、過去 7 日間の API アクティビティに関する質問にすばやく簡単に答えることができ、すぐにアクションを実行できます。詳しくは、CloudTrail ドキュメントのこのセクションで API アクティビティの確認方法をご覧ください。

 

指定した CloudWatch Logs ロググループに API アクティビティを送るように CloudTrail を設定できます。設定すると、CloudWatch アラームを作成し、特定の API アクティビティが発生したときに SNS 通知を受け取ることができます。詳細については、CloudTrail ドキュメントのよくある質問およびユーザーガイドを参照してください。

 

CloudTrail では、デフォルトで、Amazon S3 サーバー側の暗号化 (SSE) を使用して、指定された Amazon S3 バケットに配信されるすべてのログファイルを暗号化します。場合によっては、AWS Key Management Service (KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることができます。Amazon S3 では、お客様が復号アクセス許可を持っていれば、自動的にログファイルを復号します。詳細については、Encrypting log files using your KMS key を参照してください。


Amazon S3 バケットに格納されている CloudTrail ログファイルの整合性を検証して、CloudTrail から Amazon S3 バケットにログファイルが配信されてから、ログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。IT のセキュリティと監査プロセスを支援するために、ログファイルの整合性の検証を使用できます。


現在、CloudTrail は次のサービスをサポートしています。

  • Amazon Elastic Compute Cloud (Amazon EC2)
  • Auto Scaling
  • Elastic Load Balancing (ELB)
  • Amazon EC2 Container Service
  • AWS Lambda

  • Amazon Simple Storage Service (Amazon S3)
  • Amazon Elastic Block Store (Amazon EBS)
  • AWS Storage Gateway
  • Amazon Glacier
  • Amazon CloudFront

  • Amazon Relational Database Service (Amazon RDS)
  • Amazon Redshift
  • Amazon Elasticache
  • Amazon DynamoDB

  • AWS Direct Connect
  • Amazon Virtual Private Cloud (Amazon VPC)
  • Amazon Route 53

  • Amazon Simple Queue Service (Amazon SQS)
  • Amazon Simple Notification Service (Amazon SNS)
  • Amazon Simple Workflow
  • Amazon Cloudsearch
  • Amazon Elastic Transcoder
  • Amazon Simple Email Service
  • Amazon API Gateway
  • Amazon Cognito

 

  • AWS CloudFormation
  • AWS OpsWorks
  • AWS CodeDeploy
  • AWS Elastic Beanstalk

  • AWS Identity and Access Management (AWS IAM)
  • AWS Security Token Service(AWS STS)
  • AWS CloudTrail
  • AWS Key Management Service
  • Amazon CloudWatch
  • AWS Config
  • AWS Directory Service

  • Amazon Kinesis
  • Amazon Elastic Map Reduce (EMR)
  • AWS Data Pipeline
  • Amazon Machine Learning

  • Amazon WorkDocs
  • Amazon WorkSpaces


現在、CloudTrail は次のリージョンをサポートしています。

  • 米国東部(バージニア北部)
  • 米国西部 (オレゴン)
  • 米国西部 (北カリフォルニア)
  • 欧州 (アイルランド)
  • 欧州(フランクフルト)

  • アジアパシフィック北東部(東京)
  • AP 南東部 (シドニー)
  • AP 南東部(シンガポール)
  • 南米東部(サンパウロ)
  • GovCloud(米国)
  • 北京(中国)


CloudTrail で生成される AWS API 呼び出し履歴をログ管理と分析ソリューションの入力として使用することで、セキュリティ分析を実行し、ユーザーの行動パターンを検出することができます。

 

CloudTrail で生成される AWS API の呼び出し履歴を使用して、AWS リソース(AWS EC2 インスタンス、Amazon VPC セキュリティグループ、Amazon EBS ボリュームなど)の作成、変更、削除といった AWS リソースの変更を追跡できます。

CloudTrail の AWS API の呼び出し履歴を利用することで、内部のポリシーや規制基準に準拠しやすくなります。詳細については、AWS コンプライアンスのホワイトペーパー「Security at Scale: Logging in AWS」を参照してください。

CloudTrail で生成される AWS API の呼び出し離席を使用して、操作に関する問題を解決できます。例えば、環境内のリソースに対して最後に加えられた変更をすばやく特定できます。