AWS CloudTrail はアカウントに対する AWS API 呼び出しを記録し、ログファイルを配信するウェブサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出し元のソース IP アドレス、リクエストのパラメータ、および AWS サービスから返された応答の要素が含まれます。

CloudTrail を使用すると、アカウントの AWS API の呼び出し履歴を取得できます。履歴には、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、高レベルの AWS サービス(AWS CloudFormation など)を使用した API の呼び出しが含まれます。CloudTrail で生成される AWS API の呼び出し履歴を利用して、セキュリティの分析、リソース変更の追跡、およびコンプライアンスの監査を行うことができます。

AWS を無料でお試しください

まずは無料で始める »
またはコンソールにサインイン

12 か月間の AWS 無料利用枠と、24 時間年中無休のカスタマーサービスやサポートフォーラムなどの AWS の基本的なサポート機能を利用できます。

AWS アカウント作成の流れはこちら »

日本担当チームへお問い合わせ »



CloudTrail によって、AWS API の呼び出しが記録されるので、ユーザーアクティビティの可視性が向上します。例えば、特定のユーザーが特定の期間に実行した操作、特定のリソースに対して特定の期間に操作を実行したユーザー、特定のアクティビティのソース IP アドレス、不適切なアクセス許可のために失敗したアクティビティなどがわかるようになります。

CloudTrail はログファイルのストレージと送信に Amazon S3 を使用するので、堅牢で低コストな場所にログファイルを保存できます。Amazon S3 ライフサイクルの設定ルールを使用して、ストレージのコストをさらに削減することができます。例えば、古いログファイルを自動的に削除するルールや、Amazon Glacier に自動的にアーカイブするルールを定義することで、さらにコストを削減できます。

CloudTrail は、ログファイルが送信されるたびに通知を発行するように設定できるので、ログファイルの送信に応じて自動的に処理を実行できます。CloudTrail は通知 Amazon Simple Notification Service(SNS)を使用します。

CloudTrail では、Get、Put、Delete、S3 オブジェクトに関する ACL の変更を含め、S3 オブジェクトレベルのすべての API 呼び出しを表示できます。それぞれの API 呼び出しについて、API 呼び出しを行った IAM ユーザー、呼び出しが行われた時刻、影響を受けたリソースなどの詳細を取得できます。

指定した CloudWatch Logs ロググループに API アクティビティを送るように CloudTrail を設定できます。設定すると、CloudWatch アラームを作成し、特定の API アクティビティが発生したときに SNS 通知を受け取ることができます。詳細については、CloudTrail ドキュメントのよくある質問およびユーザーガイドを参照してください。

 

CloudTrail は、複数のアカウントとリージョンについてログファイルを集計し、ログファイルが 1 のバケットに送信されるように設定できます。詳細な手順については、ユーザーガイドの「Aggregating CloudTrail Log Files to a Single Amazon S3 Bucket」セクションを参照してください。

CloudTrail では、デフォルトで、Amazon S3 サーバー側の暗号化 (SSE) を使用して、指定された Amazon S3 バケットに配信されるすべてのログファイルを暗号化します。場合によっては、AWS Key Management Service (KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることができます。Amazon S3 では、お客様が復号アクセス許可を持っていれば、自動的にログファイルを復号します。詳細については、Encrypting log files using your KMS key を参照してください。


AWS アカウントに対してキャプチャされた API アクティビティを確認することで、運用上の問題を解決したり、またはセキュリティ解析を実行したりできます。AWS CloudTrail コンソール、AWS CLI、AWS SDK を使用して、過去 7 日間の API アクティビティに関する質問にすばやく簡単に答えることができ、すぐにアクションを実行できます。詳しくは、CloudTrail ドキュメントのこのセクションで API アクティビティの確認方法をご覧ください。

 

Amazon S3 バケットに格納されている CloudTrail ログファイルの整合性を検証して、CloudTrail から Amazon S3 バケットにログファイルが配信されてから、ログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。IT のセキュリティと監査プロセスを支援するために、ログファイルの整合性の検証を使用できます。


CloudTrail で生成される AWS API 呼び出し履歴をログ管理と分析ソリューションの入力として使用することで、セキュリティ分析を実行し、ユーザーの行動パターンを検出することができます。

 

CloudTrail で生成される AWS API の呼び出し履歴を使用して、AWS リソース(AWS EC2 インスタンス、Amazon VPC セキュリティグループ、Amazon EBS ボリュームなど)の作成、変更、削除といった AWS リソースの変更を追跡できます。

CloudTrail の AWS API の呼び出し履歴を利用することで、内部のポリシーや規制基準に準拠しやすくなります。詳細については、AWS コンプライアンスのホワイトペーパー「Security at Scale: Logging in AWS」を参照してください。

CloudTrail で生成される AWS API の呼び出し履歴を使用して、操作に関する問題を解決できます。例えば、環境内のリソースに対して最後に加えられた変更をすばやく特定できます。


CloudTrail では、API のアクティビティイベントとサービスイベント、および AWS の各種サービスからのほとんどのイベントが記録されます。現在サポートされているサービスのリストについては、CloudTrail ユーザーガイドをご覧ください。


CloudTrail はすべての AWS リージョンでサポートされています。サポートされているリージョンとエンドポイントすべてのリストについては、CloudTrail ユーザーガイドをご覧ください。