AWS CloudTrail は、監査、セキュリティモニタリング、運用上のトラブルシューティングを可能にします。CloudTrail は、AWS のサービス全体のユーザーアクティビティや API コールをイベントとして記録します。CloudTrail イベントは、「誰が、どこで、いつ、何をしたのか?」という疑問に答えるのに役立ちます。
CloudTrail では、次の 3 種類のイベントが記録されます。
イベント履歴は、AWS リージョンにおける過去 90 日間の管理イベントの表示、検索、ダウンロード、変更不可能な記録をサポートします。イベント履歴の表示には CloudTrail の料金は発生しません。
CloudTrail は、すべての AWS アカウントで有効になっており、手動での設定を必要とせずに、AWS のサービス全体の管理イベントを記録します。AWS 無料利用枠では、CloudTrail コンソールまたは CloudTrail lookup-events API を使用して、アカウントの管理イベントの最新 90 日間の履歴を無料で表示、検索、ダウンロードすることができます。詳細については、「CloudTrail イベント履歴でのイベントの表示」をご覧ください。
証跡は、AWS アカウントのアクティビティの記録をキャプチャし、これらのイベントを Amazon S3 に配信および保存して、オプションで Amazon CloudWatch Logs や Amazon EventBridge に配信することができます。これらのイベントは、セキュリティ監視ソリューションに取り込むことができます。CloudTrail でキャプチャしたログの検索や分析には、お客様独自のサードパーティーソリューションや Amazon Athena などのソリューションを利用できます。単一の AWS アカウント、または AWS Organizations を使用して複数の AWS アカウントのためにトレイルを作成できます。
証跡を作成することで、進行中の管理イベントやデータイベントを S3 や、オプションで CloudWatch Logs に配信することができます。これにより、完全なイベントの詳細を取得し、必要に応じてイベントをエクスポートし、保存することができます。詳細については、「AWS アカウントの証跡を作成する」をご覧ください。
S3 バケットに格納されている CloudTrail ログファイルの整合性を検証して、CloudTrail から S3 バケットにログファイルが配信されてから、ログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。CloudTrail では、デフォルトで、指定された S3 バケットに配信されるすべてのログファイルを S3 サーバー側の暗号化 (SSE) を使用して暗号化します。必要に応じて、AWS Key Management Service (KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることもできます。お客様に復号権限があれば、S3 は自動的にログファイルを復号します。詳細については、「AWS KMS 管理キー (SSE-KMS) を使用した CloudTrail ログファイルの暗号化」をご覧ください。
CloudTrail を設定して、複数の AWS リージョンからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が、既存のリージョンにも新たにサービスを起動したリージョンにも等しく適用されることが保証されます。詳細については、「複数のリージョンから CloudTrail ログファイルを受信する」をご覧ください。
CloudTrail を設定して、複数の AWS アカウントからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が既存および新規に作成されたすべてのアカウントに等しく適用されることが確認されます。詳細については、「組織の証跡を作成する」をご覧ください。
CloudTrail Lake は、監査やセキュリティの目的のために、AWS 上のユーザーや API アクティビティをキャプチャ、保存、アクセス、分析するためのマネージドデータレイクです。AWS ソースと AWS 以外のソースの両方からのアクティビティログを集約、視覚化、クエリし、不変に保存できます。IT 監査人は、CloudTrail Lake を、監査要件を満たすためのすべてのアクティビティのイミュータブルな記録として利用できます。セキュリティ管理者は、ユーザーのアクティビティが社内ポリシーに則っているかどうかを確認することができます。DevOps エンジニアは、Amazon Elastic Compute Cloud (EC2) インスタンスが応答していない、リソースへのアクセスが拒否されているといった運用上の問題をトラブルシューティングできます。
CloudTrail Lake は監査およびセキュリティのマネージドレイクであるため、イベントはレイク内に保存されます。CloudTrail Lake は、ログファイルの変更を防ぐために読み取り専用アクセスを許可します。読み取り専用アクセスは、イベントがイミュータブルであることを意味します。
CloudTrail Lake では、アクティビティログに SQL ベースのクエリを実行してレイク内の監査を行ったり、CloudTrail イベントで SQL クエリを実行して CloudTrail Lake ダッシュボードのデータを詳しく調べたりすることができます。さらに、Amazon Athena を利用すると、他のソースからのデータとともに CloudTrail Lake の監査可能なログをインタラクティブにクエリできます。データの移動やレプリケーションといった複雑な操作は必要ありません。例えば、セキュリティエンジニアは Athena を使用して、CloudTrail Lake のアクティビティログと Amazon S3 のアプリケーションおよびトラフィックログを関連付け、セキュリティインシデントの調査を行うことができます。また、コンプライアンスエンジニアや運用エンジニアは、Amazon QuickSight と Amazon Managed Grafana を使用して CloudTrail Lake のアクティビティログを可視化し、コンプライアンス、コスト、使用状況のレポートを作成できるようになりました。
AWS CloudTrail Lake を使うことで、複数のログアグリゲーターやレポートツールを維持することなく、AWS および AWS 以外のソース (クラウドまたはオンプレミスで稼働する社内アプリケーションや SaaS アプリケーションなど) からのアクティビティイベントを統合することができます。AWS Config の設定項目や AWS Audit Manager の監査の証拠など、他の AWS サービスからデータを取り込むこともできます。CloudTrail Lake API を使用してデータ統合を設定し、イベントを CloudTrail Lake にプッシュできます。サードパーティーのツールと統合するには、CloudTrail コンソールのパートナー統合により、いくつかのステップでこれらのアプリケーションからアクティビティイベントの受信を開始できます。
CloudTrail Lake は、複数のリージョンからイベントをキャプチャし、保存するのに役立ちます。
CloudTrail Lake を利用すると、AWS Organizations 全体のアカウントのイベントをキャプチャして保存できます。さらに、組織トレイルや CloudTrail Lake イベントデータストアを組織レベルで作成、更新、クエリ、削除するための委任管理者アカウントを最大 3 つまで指定することができます。
AWS CloudTrail Insights イベントは、CloudTrail 管理イベントを継続的に分析することで、AWS のユーザーが API コールや API エラー率に関連する異常なアクティビティを特定し、対応するのに役立ちます。CloudTrail Insights は、API コールの量と API エラー率の通常のパターン (ベースラインとも呼ばれます) を分析し、コールの量やエラー率が通常のパターンから外れている場合に Insights イベントを生成します。 証跡またはイベントデータストアで CloudTrail Insights を有効にして、異常な動作や異常なアクティビティを検出できます。