AWS CloudTrail を使用すると、ガバナンス、コンプライアンス、リスク監査が簡素化されます。CloudTrail を使用すると、AWS アカウントにおける API アクションおよび API 以外のアクションを把握できるため、運用上およびセキュリティ上の問題をより迅速に分析できるようになります。CloudTrail は CloudWatch Logs の統合、マルチリージョン設定のサポート、ログファイルの整合性検証に対応しており、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、AWS のその他のサービスで実行されたアクティビティに関する包括的で安全性の高い、検索可能なイベント履歴を取得できます。

AWS を無料で試す

まずは無料で始める
またはコンソールにサインイン

12 か月間の AWS 無料利用枠と、24 時間年中無休のカスタマーサービスやサポートフォーラムなどの AWS の基本的なサポート機能を利用できます。

シンプルなセットアップ

AWS CloudTrail はすべての AWS アカウントで有効にされ、アカウントの作成時点からアカウントアクティビティを記録します。CloudTrail では、手動で設定しなくても、サポート対象のサービスで過去 7 日間に行った作成、変更、削除の操作のアカウントアクティビティを表示およびダウンロードできます。

シンプルなセットアップ

直近の AWS のアカウントアクティビティを表示、検索、ダウンロードできます。これにより、AWS アカウントのリソースの変更を把握できるため、セキュリティのプロセスを強化することや、運用上の問題解決を容易にすることができます。

100x100_benefit_managed-deployment1

ある 1 つのアカウントについて、複数のリージョンから 1 つの Amazon S3 バケットにログファイルを配信するように AWS CloudTrail を設定できます。1 つの設定がすべてのリージョンに適用されるため、既存のリージョンにも新たにサービスを起動したリージョンにも全体にわたりすべての設定が等しく適用されます。詳細な手順については、AWS CloudTrail ユーザーガイド1 つの Amazon S3 バケットにログファイルを集計する方法のセクションを参照してください。

 

 

サービスマップ

Amazon S3 バケットに保存されている AWS CloudTrail ログファイルの整合性を検証して、CloudTrail から Amazon S3 バケットにログファイルが配信された後に発生したログファイルの変更や削除を検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。

 

データの注釈とフィルタリング

AWS CloudTrail では、デフォルトで、指定された Amazon S3 バケットに配信されるすべてのログファイルを Amazon S3 サーバー側の暗号化 (SSE) を使用して暗号化します。場合によっては、AWS Key Management Service (AWS KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることができます。Amazon S3 では、お客様に復号権限があれば、自動的にログファイルを復号します。詳細については、AWS KMS で管理されたキーによる CloudTrail ログファイルの暗号化 (SSE-KMS) をご覧ください。

 

コンソールおよびプログラムによるアクセス

データイベントは、データ自体に対して、またはリソース自体の中で実行されるリソース (「データプレーン」)オペレーションについての洞察を提供します。データイベントは大量のアクティビティであることが多く、Amazon S3 オブジェクトレベル API や AWS Lambda 関数呼び出し API などのオペレーションが含まれます。例えば、Amazon S3 オブジェクトに対する API アクションを記録し、AWS アカウント、IAM ユーザーロール、発信者の IP アドレス、API コールの時間などの詳細情報を受け取ることができます。Lambda 関数のアクティビティを記録し、Invoke API コールを行った IAM ユーザーやサービス、呼び出しがいつ行われたか、どの関数が実行されたかなど、Lambda 関数の実行に関する詳細を受け取ることもできます。

セキュリティ

管理イベントは、AWS アカウントのリソースで実行される管理 (「コントロール面」) オペレーションへの洞察を提供します。例えば、Amazon EC2 インスタンスの作成、削除、変更などの管理アクションを記録できます。各イベントについて、AWS アカウント、IAM ユーザーの役割、アクションを開始したユーザーの IP アドレス、アクションの時間、影響を受けたリソースなどの詳細を取得できます。

シンプルなセットアップ

Amazon S3 バケット通知機能を活用すれば、オブジェクトにより作成されたイベントを AWS Lambda にパブリッシュするよう Amazon S3 に指示できます。CloudTrail により S3 バケットにログが書き込まれると、Amazon S3 により Lambda 関数が呼び出され、CloudTrail により記録されたアクセスレコードが処理されます。

シンプルなセットアップ

AWS CloudTrail を Amazon CloudWatch Logs と統合すると、CloudTrail で記録された管理とデータのイベントを CloudWatch Logs に送信できるようになります。CloudWatch Logs では、メトリクスフィルターを作成することにより、イベントのモニタリングと検索を実行できるようになります。また、AWS Lambda や Amazon Elasticsearch Service といった AWS の他のサービスにイベントをストリーミングできるようになります。

シンプルなセットアップ

AWS CloudTrail と Amazon CloudWatch Events を統合すれば、AWS のリソースへの変更に対して自動的に応答することができます。CloudWatch Events を使用すると、AWS CloudTrail により特定のイベントが記録されたときに、実行すべきアクションを決定できます。例えば、CloudTrail により Amazon EC2 セキュリティグループに対する変更 (新しい進入ルールの追加など) が記録された場合、このアクティビティを AWS Lambda 関数に送信する CloudWatch イベントのルールを作成できます。これにより、IT ヘルプデスクシステムでチケットを作成するためのワークフローを Lambda で実行できるようになります。