AWS CloudTrail のよくある質問

CloudTrail は、ユーザーのアクティビティや API の使用状況を追跡することで、監査、セキュリティモニタリング、運用トラブルシューティングを可能にします。CloudTrail は、お客様の AWS インフラストラクチャ全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングし、それを保持することで、保存、分析、および修復アクションをコントロールできます。

CloudTrail は、コンプライアンスの証明、セキュリティ体制の改善、そしてリージョンやアカウント間のアクティビティレコードの統合に役立ちます。CloudTrail によって、アカウントに対して行われたアクションが記録されるため、ユーザーアクティビティを把握しやすくなります。CloudTrail では、リクエストを実行したユーザー、使用したサービス、実行されたアクション、そのアクションのパラメーター、AWS のサービスによって返されたレスポンス要素など、各アクションの重要な情報が記録されます。この情報は、AWS リソースに加えられた変更を追跡し、操作に関する問題を解決するために役立ちます。CloudTrail によって、内部のポリシーや規制基準に準拠しやすくなります。詳細については、AWS コンプライアンスのホワイトペーパー「Security at Scale: Logging in AWS」を参照してください。 

アクティビティの監査、セキュリティのモニタリング、運用上の問題のトラブルシューティングが必要な場合は、CloudTrail を使用してください。

いいえ。アカウントアクティビティを表示するための設定は必要ありません。AWS CloudTrail コンソールまたは AWS CLI にアクセスして、過去 90 日間までのアカウントアクティビティを表示できます。

AWS CloudTrail では、現在のリージョンで過去 90 日間に確認した CloudTrail イベント履歴の結果のみを表示し、さまざまな AWS サービスをサポートしています。このようなイベントは、API コールおよびアカウントアクティビティの作成、変更、削除の管理イベントに限定されます。すべての管理イベント、データイベント、読み込み専用アクティビティを含むアカウントアクティビティの完全なレコードを確認するには、CloudTrail の証跡を設定しなければなりません。

時間範囲の他に、イベント名、ユーザー名、リソース名、イベントソース、イベント ID、リソースタイプの属性のうち 1 つを指定できます。

はい。CloudTrail コンソールにアクセスするか、CloudTrail API/CLI を使用して、過去 90 日間のアカウントアクティビティを表示できます。

CloudTrail の証跡を設定し、Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs、Amazon CloudWatch Events に CloudTrail イベントを配信します。この設定により、AWS リソースの変更をアーカイブ、分析、処理するための機能を使用できるようになります。

はい。CloudTrail は AWS Identity and Access Management (IAM) と統合されているため、CloudTrail や CloudTrail が要求する AWS の他のリソースへのアクセスを制御できます。これには、アカウントのアクティビティを表示および検索するための権限を制限する機能が含まれています。ユーザー IAM ポリシーから「cloudtrail:LookupEvents」を削除することで、その IAM ユーザーがアカウントアクティビティを表示できないようにすることができます。

CloudTrail イベント履歴でアカウントアクティビティの表示や検索する際は、コストは発生しません。 

作成された CloudTrail の証跡については、ログを停止するか、証跡を削除することができます。これにより、証跡設定の一部として指定した Amazon S3 バケットへのアカウントアクティビティの配信、および CloudWatch Logs (設定されている場合) への配信も停止されます。過去 90 日間のアカウントアクティビティは引き続き収集されるため、CloudTrail コンソールでの表示や AWS コマンドラインインターフェイス (AWS CLI) での参照が可能です。 

CloudTrail イベントを CloudWatch に直接配信することで、いくつかの重要な利点が得られます。1 つめは、個々の証跡を設定しなくても、組織全体のイベント収集を CloudWatch コンソールから直接一元管理できるため、運用の諸経費が軽減されます。2 つめは、安全なサービスリンクチャネルによって、イベントの強化や安全チェックなどの高度な機能をサポートしながら、イミュータブルなロググループへの信頼性の高い配信が実現できます。3 つめは、リアルタイムのログ収集や自動異常検出など、CloudWatch の強力なモニタリング機能を活用できます。4 つめは、CloudTrail Lake の履歴データを CloudWatch Logs に簡単にインポートして、現在のデータとともに過去のイベントを分析できます。この統合により、AWS 組織全体でセキュリティの一貫した可視性が得られ、複数の証跡設定を管理する際の複雑さが解消されます。

CloudTrail では、ほとんどの AWS のサービスにおけるアカウントアクティビティイベントとサービスイベントが記録されます。サポートされているサービスのリストについては、「CloudTrail ユーザーガイド」の「CloudTrail Supported Services」を参照してください。

はい。CloudTrail はあらゆるクライアントからの API コール (呼び出す) を記録します。AWS マネジメントコンソール、AWS SDK、コマンドラインツール、および高レベルの AWS のサービスから AWS API オペレーションがコールされる場合、これらのコールは記録されます。

リージョナルエンドポイントを持つサービス (Amazon Elastic Compute Cloud [EC2] や Amazon Relational Database (リレーショナルデータベース) Service [RDS] など) のアクティビティ情報は、アクションが行われたのと同じリージョンで取得および処理されます。その後、S3 バケットに関連付けられたリージョンに配信されます。IAM や AWS Security Token Service (AWS STS) などの単一のエンドポイントを持つサービスのアクティビティ情報は、エンドポイントのあるリージョンで取得されます。その後、CloudTrail トレイルが設定されているリージョンで処理され、S3 バケットに関連付けられたリージョンに配信されます。

すべての AWS リージョンに証跡を適用するとは、データが保存されているすべてのリージョンで AWS アカウントアクティビティを記録する証跡を作成することです。この設定は、追加された新しいリージョンにも適用されます。リージョンとパーティションの詳細については、Amazon リソースネームと AWS のサービスの名前空間のページを参照してください。

1 回の API コールまたは数回の選択で、パーティション内のすべてのリージョンに証跡情報を作成し、管理できます。すべてのリージョンにおいて AWS アカウントで実行されたアカウントアクティビティのレコードが、1 つの S3 バケットまたは CloudWatch Logs のグループに送信されます。AWS に新しいリージョンが作成された場合、何も設定しなくても、新しいリージョンのイベント履歴を含むログファイルを受信できます。

CloudTrail コンソールで、証跡情報の設定ページの [apply to all Regions] に「yes」を選択します。SDK または AWS CLI を使用する場合、IsMultiRegionTrail を「true」に設定します。 

証跡をすべてのリージョンに適用すると、CloudTrail によって証跡設定がレプリケーションされ、新しい証跡が作成されます。CloudTrail では各リージョンでログファイルの記録と処理を行い、すべてのリージョンでのアカウントアクティビティを含むログファイルを単一の S3 バケットおよび単一の CloudWatch Logs ロググループに配信します。オプションの Amazon Simple Notification Service (Amazon SNS) トピックを指定した場合、CloudTrail は単一の SNS トピックに配信されたすべてのログファイルに関する Amazon SNS 通知を配信します。

はい。既存の証跡情報をすべてのリージョンに適用できます。既存の証跡情報をすべてのリージョンに適用した場合、CloudTrail によりすべてのリージョンで新しい証跡情報が作成されます。以前に他のリージョンで証跡を作成している場合、CloudTrail コンソールから、それらの証跡を表示、編集、削除できます。 

通常、証跡情報設定をすべてのリージョンにレプリケーションするのにかかる時間は 30 秒未満です。

1 つのリージョンにつき最大 5 つの証跡情報を作成できます。すべてのリージョンに適用される証跡情報は各リージョンに存在し、それぞれのリージョンで 1 つの証跡情報として数えられます。

複数の証跡情報を使用することで、セキュリティ管理者、ソフトウェアデベロッパー、および IT 監査人といったさまざまな利害関係者が独自の証跡情報を作成し、管理することができます。例えば、セキュリティ管理者は、すべてのリージョンに適用される証跡情報を作成し、1 つの Amazon Key Management Service (KMS) キーを使用した暗号化を設定できます。デベロッパーはオペレーションに関する問題をトラブルシューティングするために、1 つのリージョンに適用される証跡情報を作成できます。

はい。リソースレベルのアクセス権限を使用してきめ細かなアクセスコントロールポリシーを作成すれば、特定のユーザーに対して、特定の証跡情報へのアクセスを許可または拒否することができます。詳細については、CloudTrail のドキュメントを参照してください。 

デフォルトでは、CloudTrail ログファイルは S3 サーバー側の暗号化 (SSE) を使用して暗号化され、S3 バケットに保存されます。IAM または S3 バケットのポリシーを使用してログファイルへのアクセスを制御できます。セキュリティをさらに追加するには、S3 バケットで S3 多要素認証 (MFA) 削除 を有効にします。証跡の作成と更新の詳細については、CloudTrail のドキュメントを参照してください。

サンプルの S3 バケットポリシーと SNS トピックポリシーは CloudTrail S3 バケットからダウンロードできます。実際の情報を入力してサンプルポリシーを更新してから、S3 バケットまたは SNS トピックに適用してください。

CloudTrail ログファイルの保持ポリシーで制御します。デフォルトでは、ログファイルは永続的に保存されます。S3 オブジェクトのライフサイクル管理ルールを使用して、独自の保持ポリシーを定義できます。例えば、古いログファイルを削除したり、Amazon Simple Storage Service Glacier (S3 Glacier) にアーカイブしたい場合などです。

イベントには、リクエストを実行したユーザー、使用したサービス、実行されたアクション、そのアクションのパラメータ、AWS のサービスによって返されるレスポンス要素など、関連するアクティビティについての情報が含まれます。詳細については、ユーザーガイドの「CloudTrail イベントリファレンス」のセクションを参照してください。 

通常、CloudTrail は、API 呼び出しから 5 分以内にイベントを送信します。CloudTrail の仕組みの詳細については、こちらをご覧ください。   

CloudTrail は S3 バケットに約 5 分ごとにログファイルを送信します。そのアカウントに対して API コールがない場合は、CloudTrail はログファイルを送信しません。 

はい。Amazon SNS の通知を有効にすることで、新しいログファイルを受け取った後にすぐに対応できるようになります。 

A: まれですが、1 つ以上の重複イベントを含むログファイルが表示されることがあります。重複したイベントには同じ eventID が割り当てられます。eventID フィールドの詳細については、「CloudTrail レコードの内容」を参照してください。 

CloudTrail ログファイルは、設定した S3 バケットポリシーに従って送信されます。バケットポリシーの設定が正しくない場合、CloudTrail からログファイルが配信されなくなることがあります。 

CloudTrail は、サブスクライブされたイベントのカスタマーの S3 バケットへの配信を少なくとも 1 回サポートするように設計されています。状況によっては、CloudTrail が同じイベントを複数回配信する可能性があります。結果的に、お客様がイベントが重複していることに気付くことがあります。 

データイベントは、データ自体に対して、またはリソース自体の中で実行されるリソース (データプレーン) オペレーションに関するインサイトを提供します。データイベントは大量のアクティビティであることが多く、S3 オブジェクトレベルの API オペレーションや AWS Lambda 関数呼び出し API などのオペレーションが含まれます。証跡を設定する際、データイベントはデフォルトで無効になります。CloudTrail データイベントを記録するには、サポートされているリソースまたはリソースタイプのうちアクティビティを収集したいものを明示的に追加する必要があります。管理イベントとは異なり、データイベントには追加コストがかかります。詳細については、「CloudTrail の料金」を参照しえｔください。 

CloudTrail によって記録されたデータイベントは、管理イベントと同様に S3 に送信されます。これらのイベントは、一度有効にすると Amazon CloudWatch Events でも使用できます。 

S3 データイベントは、S3 オブジェクトに対する API アクティビティを表わします。CloudTrail でこれらのアクションを記録するには、新しい証跡を作成するとき、または既存の証跡を変更するときに、データイベントセクションに S3 バケットを指定します。指定した S3 バケット内のオブジェクトに対する API のアクションはすべて CloudTrail によって記録されます。 

Lambda データイベントは、Lambda 関数の実行時のアクティビティを記録します。Lambda data event を使うと、Lambda 関数の実行時の詳細を取得することができます。Lambda 関数の実行例としては、どの IAM ユーザーやサービスが Invoke API を呼び出したか、いつ呼び出したか、どの関数が適用されたかが挙げられます。すべての Lambda データイベントは、S3 バケットと CloudWatch Events に配信されます。CLI または CloudTrail コンソールを使用して Lambda データイベントのログ作成を有効にし、新しい証跡を作成したり既存の証跡を編集することで、どの Lambda 関数をログに記録するかを選択できます。 

ネットワークアクティビティイベントは、VPC エンドポイントを使用して行われたプライベート VPC から AWS サービスへの AWS API アクションを記録し、ネットワークセキュリティ調査のユースケースに対応するのに役立ちます。これには、VPC エンドポイントポリシーに合格した AWS API コールと、アクセスを拒否された AWS API コールが含まれます。 例えば、VPC エンドポイントの所有者として、VPC エンドポイントポリシーにより拒否されたアクションのログを表示したり、データ境界外のアクターが S3 バケットのデータにアクセスしようとしているかどうかを判断したりできます。API の呼び出し元とリソースの所有者の両方に配信される管理イベントとデータイベントとは異なり、ネットワークアクティビティイベントは VPC エンドポイントの所有者にのみ配信されます。

ネットワークアクティビティイベントを記録するには、証跡またはイベントデータストアを設定するときにそれらを明示的に有効にし、アクティビティを収集したい AWS サービスのイベントソースを選択する必要があります。VPC エンドポイント ID でフィルタリングしたり、アクセス拒否エラーのみをログ記録したりするなどのフィルターを追加することもできます。ネットワークアクティビティイベントには追加料金が発生します。詳細については、「CloudTrail の料金」をご覧ください。

VPC フローログを使用すると、VPC 内のネットワークインターフェイス間で送信される IP トラフィックに関する情報を取得できるようになります。フローログデータは、Amazon CloudWatch Logs、Amazon S3、または Amazon Data Firehose のいずれかの場所に公開できます。VPC エンドポイントのネットワークアクティビティイベントは、VPC エンドポイントを使用して実行された AWS API アクションをプライベート VPC から AWS サービスにキャプチャします。これにより、ネットワーク内のリソースにアクセスしているユーザーの詳細が得られ、データ境界における意図しないアクションを特定して対応しやすくなります。VPC エンドポイントポリシーによって拒否されたアクションのログを表示したり、これらのイベントを使用して既存のポリシーを更新した場合の影響を検証したりできます。 

はい。CloudTrail では、1 組織につき 3 名まで委任管理者を追加できるようになりました。

組織レベルで作成された組織トレイルやイベントデータストアは、委任管理者のアカウントで作成されたか、管理アカウントで作成されたかにかかわらず、管理アカウントが所有者となります。

現在、CloudTrail の委任管理者機能は、中国を除く AWS CloudTrail が利用可能なすべてのリージョンで利用可能です。詳細については、AWS リージョン表を参照してください。

CloudTrail Insights イベントは、リソースプロビジョニングの急上昇、AWS Identity and Access Management (IAM) アクションのバースト、または定期的なメンテナンスアクティビティのギャップなど、AWS アカウントの異常なアクティビティを特定するのに役立ちます。CloudTrail Insights は、機械学習 (ML) モデルを使用して、異常なアクティビティの CloudTrail 書き込み管理イベントを継続的にモニタリングします。

異常なアクティビティが検出されると、CloudTrail Insights イベントがコンソールに表示され、CloudWatch Events、S3 バケット、およびオプションで CloudWatch Logs グループに配信されます。これにより、アラートの作成や既存のイベント管理およびワークフローシステムとの統合を簡単に行えるようになります。

CloudTrail Insights は、AWS アカウントおよびリージョン内の CloudTrail 書き込み管理イベントを分析することにより、異常なアクティビティを検出します。普通でないまたは異常なイベントは、以前に確立された動作パターンまたはベースラインから予想される範囲から逸脱する AWS API 呼び出しの量として定義されます。CloudTrail Insights は、API 呼び出しの時間ベースの傾向を考慮し、ワークロードの変化に応じてアダプティブベースラインを適用することにより、通常の運用パターンの変化に適応します。

CloudTrail Insights は、動作不良のスクリプトまたはアプリケーションを検出するのに役立ちます。デベロッパーがスクリプトやアプリケーションを変更して、繰り返しループを開始したり、データベース、データストア、その他の関数などの意図しないリソースを大量に呼び出したりすることがあります。多くの場合、こうした動作は、月末の請求サイクルでコストが予想外に増加するか、実際の停止または中断が発生するまで気付かれません。CloudTrail Insights イベントを使用すると、AWS アカウントでのこうした変化を認識できるため、迅速に対処できます。

CloudTrail Insights は、AWS アカウントでの異常な運用アクティビティを特定します。これにより、運用上の問題に対処し、運用およびビジネスへの影響を最小限に抑えることができます。Amazon GuardDuty は、アカウントのセキュリティの改善に重点を置いており、アカウントアクティビティをモニタリングすることで脅威を検出します。Amazon Macie は、機密データを検出、分類、保護することにより、アカウントのデータ保護を改善するように設計されています。こうしたサービスは、アカウントで発生する可能性があるさまざまなタイプの問題を補完的に保護します。

はい。CloudTrail Insights イベントは個々の証跡で構成されているため、少なくとも 1 つの証跡を設定する必要があります。証跡に対して CloudTrail Insights イベントを有効にすると、CloudTrail は、その証跡でキャプチャされる書き込み管理イベントの異常なパターンの監視を開始します。CloudTrail Insights が異常なアクティビティを検出すると、CloudTrail Insights イベントが証跡定義で指定された配信先に記録されます。

CloudTrail Insights は書き込み管理 API オペレーションの異常なアクティビティを追跡します。

コンソール、CLI、SDK を使用して、アカウント内の個々の証跡で CloudTrail Insights イベントを有効にできます。また、AWS Organizations 管理アカウントで設定されている組織トレイルを使用して、組織全体で CloudTrail Insights イベントを有効にすることもできます。証跡定義でラジオボタンを選択することにより、CloudTrail Insights イベントを有効にできます。 

CloudTrail Lake は、CloudTrail によってログされたすべてのアクション、AWS Config によって記録された設定項目、Audit Manager からの証拠、または AWS 以外のソースからのイベントをクエリし、インシデントの調査を支援します。運用上の依存関係を取り除くことによってインシデントログ記録を簡素化し、チームにまたがる複雑なデータプロセスパイプラインへの依存を減らすのに役立つツールを提供します。CloudTrail Lake では、CloudTrail ログを他の場所に移動して取り込む必要がありません。これにより、データの忠実度を維持し、ログをスロットリングさせる低レートの制限への対処を減らすことができます。また、大量の構造化ログを処理できるようにファインチューニングされているため、ほぼリアルタイムのレイテンシーが得られ、インシデント調査に最適です。SQL を使用した使い慣れた複数属性クエリの操作が可能で、複数の同時クエリをスケジュールして処理できます。SQL に慣れていないユーザーは自然言語クエリの生成を利用でき、SQL クエリの作成とデータ分析を簡素化できます。AI を使用してクエリ結果を要約する機能 (プレビュー) により、アクティビティログから有意義なインサイトを引き出し、インシデントを効率的に調査することができます。 さらに、事前に準備されたカスタムダッシュボードを使用すると、イベントデータストアに保存されているデータを CloudTrail コンソール内で直接、直感的に視覚化して分析できます。CloudTrail Lake では、これらの機能を組み合わせることで、データ管理プロセスを簡素化しながら、インシデントを効率的に調査し、AWS 環境に関するより深いインサイトを得ることができます。

CloudTrail は、AWS のサービス全体のユーザーアクティビティと API 使用のログの標準的なソースです。CloudTrail でログが利用できるようになったら、CloudTrail Lake を利用して AWS のサービスのアクティビティを調べることができます。ユーザーアクティビティと影響を受けるリソースをクエリおよび分析し、そのデータを使用して、悪意のあるユーザーの特定や許可のベースライン化などの問題に対処できます。

CloudTrail コンソールでいくつかのステップに従ってパートナー統合を検索して追加すれば、カスタム統合を構築して管理しなくても、これらのアプリケーションからのアクティビティイベントを受信できるようになります。利用可能なパートナー統合以外のソースについては、新しい CloudTrail Lake API を使用して自分で統合を設定し、イベントを CloudTrail Lake にプッシュできます。使用を開始するには、「CloudTrail ユーザーガイド」の「AWS CloudTrail Lake の使用」をご覧ください。

AWS Config アドバンストクエリは、現在の状態の AWS Config の設定項目 (CI) を、集約およびクエリしようとする場合に推奨されます。これは、在庫管理、セキュリティと運用インテリジェンス、コストの最適化、およびコンプライアンスデータでお客様を支援します。AWS Config アドバンストクエリは、AWS Config のお客様であれば無料で利用できます。 

CloudTrail Lake は、リソースの設定とコンプライアンスの履歴を含む AWS Config の設定項目に対するクエリカバレッジをサポートしています。関連する CloudTrail イベントを持つリソースの設定とコンプライアンスの履歴を分析することは、それらのリソースで誰が、いつ、何を変更したかを推測するのに役立ちます。これは、セキュリティの露出やコンプライアンス違反に関連するインシデントの根本的な原因分析に役立ちます。CloudTrail イベントと設定項目の履歴全体でデータを集約し、クエリする必要がある場合は、CloudTrail Lake をお勧めします。  

CloudTrail Lake は、CloudTrail Lake が設定される前に生成された AWS Config の設定項目を取り込むことはありません。アカウントレベルまたは組織レベルで、AWS Config の新しく記録された設定項目を、作成および指定した CloudTrail Lake イベントデータストアに配信できるようになります。これらの設定項目は、指定された保持期間中は Lake でクエリ可能であり、履歴データ分析に使用することができます。 

複数のユーザーが 1 つのリソースに対して複数の設定変更を連続して試みた場合、リソースの最終状態の設定にマッピングされる設定項目は 1 つしか作成されない可能性があります。このようなシナリオでは、特定の時間範囲とリソース ID の CloudTrail と設定項目をクエリすることによって、どのユーザーがどのような設定変更を行ったかについて 100% の相関性を提供することができない可能性があります。

はい。CloudTrail Lake のインポート機能では、(組織の証跡内の) 複数のアカウントおよび複数の AWS リージョン全体からのログを保管している S3 バケットから CloudTrail ログをコピーできます。また、個人アカウントおよび単一リージョンの証跡からもログをインポートできます。このインポート機能は、インポートの日付範囲を指定することもできるため、CloudTrail Lake での長期保管と分析に必要なログのサブセットのみをインポートできます。ログを統合したら、CloudTrail Lake を有効にした後に収集された最新のイベントから、証跡から持ち込まれた履歴イベントに至るまで、ログに対してクエリを実行できます。

インポート機能は、ログ情報を S3 から CloudTrail Lake にコピーし、元のコピーを S3 にそのまま残します。

機能を有効にした直後に発生したアクティビティに対してクエリを開始できます。

一般的なユースケースには、不正アクセスやユーザー認証情報の侵害などのセキュリティインシデントの調査、ユーザーアクセス許可のベースラインを設定するための定期的な監査を実行するセキュリティ体制の強化などがあります。必要な監査を行い、リソースへの変更がセキュリティグループなど適切なユーザーのセットによって加えられていることを確認し、組織のベストプラクティスに準拠していない変更を追跡できます。さらに、リソースに対して実行されたアクションを追跡し、変更や削除を評価し、サービスにサブスクライブしている IAM ユーザーを含む、AWS のサービスの請求に関してより深いインサイトを得ることができます。

現在および新規の CloudTrail のお客様であれば、API または CloudTrail コンソールを介して機能を有効にすることで、CloudTrail Lake 機能を使用してすぐにクエリを実行できるようになります。

CloudTrail コンソールの左パネルにある [CloudTrail Lake] タブを選択し、[イベントデータストアの作成] ボタンを選択します。イベントデータストアを作成するときは、イベントデータストアに使用する価格オプションを選択します。価格オプションによって、イベントを取り込むためのコストと、イベントデータストアの最大保存期間とデフォルト保持期間が決まります。次に、ログに記録するイベントカテゴリ (管理、データ、およびネットワークアクティビティイベント) を選択します。さらに、強化されたイベントフィルタリング機能を活用して、どの CloudTrail イベントをイベントデータストアに取り込むかを制御できるため、関連するアクティビティの可視性を維持しながら効率を高め、コストを削減できます。イベントデータストアを設定したら、SQL ベースのクエリを使用して、所有または管理している任意のイベントデータストアをクエリできます。SQL にあまり詳しくないユーザー向けに、SQL クエリの作成に役立つ自然言語クエリ生成が用意されています。

さらに、生成 AI を使用してクエリ結果を (プレビューで) 要約できるため、CloudTrail データからインサイトを引き出す能力がさらに向上します。CloudTrail Lake データを視覚化するには、CloudTrail コンソール内で直接利用できる事前に整理されたダッシュボードを使用できます。これにより、監査データやセキュリティデータをすぐに可視化して、すぐに利用できる重要なインサイトが得ることができます。 ターゲットを絞った監視と分析を行うために、特定のニーズに合わせたカスタムダッシュボードを作成することもできます。

はい。イベントデータストア構成の一部として、価格オプションを 7 年間の保持価格から 1 年間の延長可能な保持価格に更新できます。既存のデータは、設定された保持期間の間、イベントデータストアで引き続き使用できます。このデータには長期保存料はかかりません。ただし、新しく取り込まれたデータについては、取り込みと長期保持の両方に 1 年間の延長可能な保持料金が適用されます。 

いいえ。現在のところ、イベントデータストアを 1 年間の延長可能な保持料金から 7 年間の保持料金に移行することはできません。ただし、現在のイベントデータストアのロギングを無効にしながら、新しく取り込んだデータに 7 年間の保存料金を設定した新しいイベントデータストアを作成することはできます。引き続きそれぞれの料金オプションと設定された保持期間を使用して、両方のイベントデータストアのデータを保持および分析できます。

CloudTrail Lake は、お客様がコンプライアンスと監査に関するユースケースのニーズを満たすのを支援する監査レイクです。コンプライアンスプログラムの規定に基づき、CloudTrail Lake にデータがいつ取り込まれたかに関係なく、ログが生成された時点から指定された期間にわたって監査ログを保持する必要があります。

いいえ。これは過去にイベントが発生した過去のイベントであるため、このイベントはイベント発生時から 1 年間 CloudTrail Lake に保持されます。そのため、そのイベントが CloudTrail Lake に保存される期間は 1 年未満になります。 

CloudTrail Lake のあらかじめ準備されているダッシュボードは、CloudTrail の管理、データ、インサイトイベントの視覚化をサポートします。さらに、イベントデータストアに保存されているあらゆる種類のデータを視覚化できるカスタムダッシュボードを作成できるため、特定のニーズに合わせて分析を調整できます。

現在、ダッシュボードはアカウントレベルで有効になっています。

CloudTrail Lake ダッシュボードは CloudTrail Lake クエリを利用しています。CloudTrail Lake ダッシュボードを有効にすると、スキャンされたデータに対して課金されます。詳細については、料金のページをご覧ください。

はい。独自のカスタムダッシュボードを作成して、定期的に更新するスケジュールを設定することもできます。

CloudTrail Lake には、セキュリティ、コンプライアンス、運用、リソース管理など、さまざまなユースケースに対応する、あらかじめ準備された一連のダッシュボードが用意されています。これらのダッシュボードは特定のシナリオに合わせてカスタマイズされており、そのまま利用可能できます。クラウドガバナンスのさまざまな側面で役に立ちます。

• セキュリティ監視では、「セキュリティ監視ダッシュボード」などのダッシュボードを使って、アクセス拒否イベント、ログイン試行の失敗、破壊的なアクションなどの重大なセキュリティイベントの追跡ができます。
• コンプライアンスへの取り組みを支援するために、「IAM アクティビティダッシュボード」では IAM エンティティの変更を可視化したり、意図しない IAM アクションや潜在的なコンプライアンス問題の特定したりできます。
• クラウド運用チームは、「エラー分析ダッシュボード」を使って、サービススロットリングのエラーやその他のサービス全体の運用上の問題を特定してトラブルシューティングできます。
• リソース管理では、「リソース変更ダッシュボード」を使用することで、CloudFormation による変更や手動による変更を含む、AWS リソース全体のプロビジョニング、削除、変更の傾向を把握できます。
• 組織は、アカウント管理、アクセスパターン、およびポリシー変更に関するインサイトを提供する「組織アクティビティダッシュボード」を活用できます。
• EC2、Lambda、DynamoDB、S3 のサービス固有のダッシュボードでは、これらのサービスの管理とデータプレーンの両方のアクティビティを詳細に把握できます。

AWS リソースのリソースタグで CloudTrail イベントを強化できます – 組織のリソースタグ付け戦略を CloudTrail イベントに組み込むことで、事業運営、プロジェクト、または部門のコンテキストで AWS アクティビティをより簡単に分類および分析できます。例えば、リソースタグを使用して、重要なデータを含む本番環境用の S3 バケットにマークを付けたとします。この情報はイベント自体に含まれているため、これらの特定のタグと一致するすべての CloudTrail イベントを簡単に表示できます。この情報を見つけるために、複数のシステムを手動で相互参照する必要はありません。
また、IAM グローバル条件キーを使用すると、プリンシパルタグなどのキーを使用して CloudTrail イベントにコンテキストを追加できます。有効にすると、認証プロセス中に評価された AWS 条件キーに関する情報が CloudTrail に含まれるようになります。これにより、リクエストを行ったプリンシパルに関する追加の詳細と、リクエスト自体に関する詳細情報を得ることができます。例えば、AWS サービスプリンシパルがリソースに直接行った API コールに対して AWS: SourceAccount を表示できます。強化されたイベントに条件キーが表示されるのは、承認プロセス中に IAM ポリシーの一部として評価された場合のみであることに注意してください。

CloudTrail Lake イベントデータストアを設定すると、CloudTrail イベントを強化することができます。設定プロセス中に、CloudTrail 管理イベントとデータイベントに含める追加情報を指定できます。この柔軟性により、分析、コンプライアンス、およびセキュリティモニタリングに関する組織のニーズに適合するように、ログ内の追加情報のレベルを調整できます。CloudTrail イベントを強化させる方法について詳しくは、こちらをご覧ください。

リソースタグと IAM グローバル条件キーを使用すると、管理イベントとデータイベントを強化させることができます。この追加情報が利用できるかどうかは、リソースの状態、タグ変更のタイミング、IAM ポリシーの評価など、さまざまな要因によって異なります。

CloudTrail は AWS リソースタグ情報をベストエフォートベースで更新します。タグ付きリソースで AWS API コールが行われたときに CloudTrail でタグ情報を利用できない場合、CloudTrail は対応する CloudTrail イベントにこの情報を含めません。CloudTrail はリソースグループタグ付け API (RGTA) を使用してタグ情報を取得します。
CloudTrail イベントのリソースタグの値が最新でなかったり、存在しなかったりするシナリオがいくつかあります。

• リソースタグは、作成後に AWS リソースに追加または更新されます。AWS リソースでタグが変更された場合、CloudTrail が新しいタグ値をキャプチャしてイベントに表示するまでに少し時間がかかります。この遅延が発生するのは、CloudTrail が結果整合性と呼ばれる分散コンピューティングモデルを使用しているためです。
• リソース削除の CloudTrail イベントには、タグ情報が含まれていない場合があります。これは、CloudTrail が関連するタグを取得する前にリソースが削除される可能性があるためです。
• CloudTrail イベントは、サービスの問題により遅延しています。このような場合、CloudTrail にはリソースタグ情報は含まれません。このような問題が原因で遅延している CloudTrail イベントには、イベントが遅延した理由に関する情報を示す「補足」フィールドが含まれます。

API アクションが承認され、CloudTrail イベントが生成されると、CloudTrail はプリンシパルタグを含む IAM グローバル条件キーを更新します。ただし、CloudTrail がイベントにグローバル条件キーを含めるのは、そのキーが承認プロセス中に IAM ポリシーの一部として評価された場合のみであることを理解することが重要です。CloudTrail に条件キーを含めるように設定しても、すべてのイベントでそのキーが存在するとは限りません。特定のグローバル条件キーを含めるように CloudTrail を設定しているものの、それがイベントに表示されない場合は、そのキーがそのアクションの IAM ポリシー評価に関連していなかったことを意味します。つまり、評価対象の IAM ポリシーのロジックではその条件キーを使用していなかったということです。 

はい。複数のアカウントの保存先として、1 つの S3 バケットを設定できます。詳細な手順については、「CloudTrail ユーザーガイド」の 1 つの S3 バケットへのログファイルの集約に関するセクションをご覧ください。

CloudTrail を CloudWatch Logs と統合すると、CloudTrail が取得した管理イベントやデータイベントが、指定した CloudWatch Logs ロググループの CloudWatch Logs ログストリームに送信されます。

この統合により、CloudTrail が取得したアカウントアクティビティの SNS 通知を受け取ることができます。例えば、CloudWatch アラームを作成して、セキュリティグループとネットワークアクセスコントロールリスト (ACL) の作成、変更、削除を行う API コールのモニタリングができます。

CloudTrail コンソールで CloudWatch Logs ロググループと IAM ロールを指定すると、CloudTrail と CloudWatch Logs の統合が有効になります。また、AWS SDK または AWS CLI を使用して統合を有効にすることもできます。

統合を有効にすると、CloudTrail は、指定した CloudWatch Logs ロググループ内の CloudWatch Logs ログストリームに継続的にアカウントアクティビティを送ります。また、CloudTrail は、これまでと同じように引き続き S3 バケットにログを配信します。

CloudWatch Logs がサポートされているリージョンで、この統合はサポートされています。詳細については、AWS 全般のリファレンスの「リージョンとエンドポイント」を参照してください。

CloudTrail では、CloudWatch Logs (ログ) にアカウントアクティビティを配信するためにユーザーが指定した IAM ロールが使用されます。IAM ロールの権限は、CloudWatch Logs ログストリームにイベントを配信するために必要なものだけに限定してください。IAM ロールのポリシーを確認するには、CloudTrail ドキュメントの「ユーザーガイド」にアクセスしてください。

CloudTrail と CloudWatch Logs の統合を有効にした後は、CloudWatch Logs と CloudWatch の標準の利用料が請求されます。詳細については、CloudWatch の料金ページをご覧ください。 

SSE-KMS で CloudTrail ログファイルの暗号化を使用すると、KMS キーでログファイルを暗号化することにより、S3 バケットに配信される CloudTrail ログファイルにセキュリティレイヤーをさらに追加できます。CloudTrail では、デフォルトで S3 のサーバー側の暗号化を使用して、S3 バケットに配信されるログファイルを暗号化します。

S3 では SSE-KMS によってログファイルを自動的に復号するため、アプリケーションを変更する必要はありません。通常どおり、S3 GetObject アクセス許可と AWS KMS Decrypt アクセス許可などのアプリケーションに適切なアクセス許可があることを確認する必要があります。

AWS マネジメントコンソール、AWS CLI または AWS SDK を使用して、ログファイルの暗号化を設定できます。詳細な手順については、ドキュメントを参照してください。

SSE-KMS を使用して暗号化を設定すると、標準の AWS KMS 料金が発生します。詳細については、AWS KMS の料金ページを参照してください。

CloudTrail ログファイルの整合性の検証機能では、CloudTrail ログファイルが特定の S3 バケットに配信されてから、そのログファイルが変更されていないか、削除されたか、変更されたかどうかを判断できます。

ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスを支援するために使用できます。

コンソール、AWS CLI、または AWS SDK から CloudTrail ログファイルの整合性の検証機能を有効にできます。

ログファイルの整合性の検証機能を有効にすると、CloudTrail からダイジェストファイルが毎時間配信されます。ダイジェストファイルには、S3 バケットに配信されたログファイルに関する情報と、それらのログファイルのハッシュ値が含まれています。また、S3 メタデータセクションに以前のダイジェストファイルのデジタル署名と現在のダイジェストファイルのデジタル署名が含まれています。ダイジェストファイル、デジタル署名、ハッシュ値に関する詳細については、CloudTrail のドキュメントを参照してください。

ダイジェストファイルは、ログファイルが配信された S3 バケットに配信されます。ただし、詳細なアクセスコントロールポリシーを適用できるように、異なるフォルダーに配信されます。詳細については、CloudTrail のドキュメントのダイジェストファイル構造のセクションをご覧ください。

AWS CLI を使用すると、ログファイルまたはダイジェストファイルの整合性を検証できます。独自のツールを作成して、検証を行うこともできます。ログファイルの整合性の検証に AWS CLI を使用する方法の詳細については、CloudTrail のドキュメントをご覧ください。

はい。すべてのリージョンおよび複数のアカウントにあるダイジェストファイルが、CloudTrail によって同じ S3 バケットに配信されます。

AWS CloudTrail Processing Library は、CloudTrail ログファイルの読み取りと処理を行うアプリケーションの作成をより容易にする Java ライブラリです。CloudTrail Processing Library は GitHub からダウンロードできます。

CloudTrail Processing Library は、SQS キューの継続的なポーリング、Amazon Simple Queue Service (Amazon SQS) メッセージの読み取りと解析などのタスクを処理する機能を提供します。また、S3 に保存されたログファイルをダウンロードし、ログファイルのイベントを耐障害性のある方法で解析し、シリアル化することができます。詳細については、CloudTrail ドキュメントのユーザーガイドをご覧ください。 

aws-java-sdk バージョン 1.9.3 および Java 1.7 以降が必要です。

CloudTrail では、お客様のアカウントの過去 90 日分の管理イベントを無料で閲覧、検索、ダウンロードすることができます。トレイルを作成することで、進行中の管理イベントのコピーを 1 つ無料で S3 に配信できます。CloudTrail の証跡が設定されると、お客様の使用量に基づいて S3 の料金が適用されます。

データイベントやネットワークアクティビティイベントなど、イベントの追加コピーを配信できます。データイベント、ネットワークアクティビティイベント、および管理イベントの追加コピーに対して料金が発生します。詳細については、料金のページを参照してください。

いいえ。管理イベントの最初のコピーは各リージョンで無料で配信されます。

はい。データイベントについてのみ課金されます。管理イベントの最初のコピーは無料で配信されます。 

CloudTrail Lake を使用する場合、取り込みとストレージの料金を一緒に支払います。請求は、取り込まれた圧縮されないデータの量と保存された圧縮データの量に基づいて行われます。イベントデータストアを作成するときは、イベントデータストアに使用する価格オプションを選択します。価格オプションによって、イベントを取り込むためのコストと、イベントデータストアの最大保存期間とデフォルト保持期間が決まります。クエリ料金は、分析するために選択した圧縮データに基づいています。詳細については、料金のページを参照してください。

はい。各 CloudTrail イベントは、平均して約 1500 バイトです。このマッピングを使用すると、過去 1 か月間の CloudTrail の使用状況に基づいて CloudTrail Lake の取り込み量をイベント数別に推定できます。

トレイルを作成しなくても、CloudTrail の管理とデータイベントを CloudWatch Logs に配信するよう有効にすることができます。CloudWatch Logs に配信されるログの量 (GB 単位) に基づいて課金されます。これにより、CloudTrail のイベント配信料金が 1 GB あたり 0.25 USD、および CloudWatch ログの取り込み料金が 1 GB あたり 0.50 ドルとなり、CloudTrail データを CloudWatch Logs に送信する際のエンドツーエンドのコストは 1 GB あたり 0.75 ドルになります。詳細については、AWS CloudTrail の料金ページを参照してください。

複数のパートナーが CloudTrail ログファイルを分析する統合ソリューションを提供しています。これらのソリューションには、変更の追跡、トラブルシューティング、セキュリティ分析などの機能が含まれています。詳細については、CloudTrail パートナーのセクションを参照してください。

統合を開始するには、「パートナーオンボーディングガイド」を参照してください。パートナー開発チームまたはパートナーソリューションアーキテクトを介して CloudTrail Lake チームと連携し、さらに詳しく掘り下げたり、質問をしたりすることができます。

いいえ。CloudTrail を有効にしても、AWS リソースのパフォーマンスや API コールのレイテンシーに影響はありません。