AWS CloudTrail のよくある質問

Q: AWS CloudTrail とは何ですか?

CloudTrail は、ユーザーのアクティビティや API の使用状況を追跡することで、監査、セキュリティモニタリング、運用トラブルシューティングを可能にします。CloudTrail は、お客様の AWS インフラストラクチャ全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングして、保持し、保存、分析、および修復アクションをコントロールできます。

Q: CloudTrail の利点は何ですか?

CloudTrail は、コンプライアンスの証明、セキュリティ体制の改善、そしてリージョンやアカウント間のアクティビティレコードの統合に役立ちます。CloudTrail によって、アカウントに対して行われたアクションが記録されるため、ユーザーアクティビティを把握しやすくなります。CloudTrail では、リクエストを実行したユーザー、使用したサービス、実行されたアクション、そのアクションのパラメーター、AWS のサービスによって返されたレスポンス要素など、各アクションの重要な情報が記録されます。この情報は、AWS リソースに加えられた変更を追跡し、操作に関する問題を解決するために役立ちます。CloudTrail によって、内部のポリシーや規制基準に準拠しやすくなります。詳細については、AWS コンプライアンスのホワイトペーパー「Security at Scale: Logging in AWS」を参照してください。

Q: CloudTrail はどのようなユーザー向けですか?

アクティビティの監査、セキュリティのモニタリング、運用上の問題のトラブルシューティングが必要な場合は、CloudTrail をご利用ください。

Q: AWS の新規ユーザーまたは既存のユーザーで CloudTrail の設定をしていない場合、アカウントアクティビティを確認するために何かを有効にする、または設定する必要がありますか?

いいえ。アカウントアクティビティの確認をするために必要なものは何もありません。AWS CloudTrail コンソールまたは AWS CLI にアクセスして、過去 90 日間までのアカウントアクティビティを確認できます。

Q: CloudTrail イベント履歴で、アカウント内のすべてのアカウントアクティビティを表示できますか?

AWS CloudTrail では、現在のリージョンで過去 90 日間に確認した CloudTrail イベント履歴の結果のみを表示し、さまざまな AWS のサービスをサポートしています。このようなイベントは、API コールおよびアカウントアクティビティの作成、変更、削除の管理イベントに限定されます。すべての管理イベント、データイベント、読み込み専用アクティビティを含むアカウントアクティビティの完全なレコードについては、CloudTrail の証跡を設定しなければなりません。

Q: アカウントアクティビティの確認に使用できるのは、どの検索フィルターですか?

時間範囲の他に、イベント名、ユーザー名、リソース名、イベントソース、イベント ID、リソースタイプの属性のうち 1 つを指定できます。

Q: 設定されている証跡がなくても検索イベントの CLI コマンドを使用できますか?

はい。CloudTrail コンソールにアクセスするか、CloudTrail API/CLI を使用して、過去 90 日間のアカウントアクティビティを確認できます。

Q: 証跡を作成した後に利用できる CloudTrail の追加機能には何がありますか?

CloudTrail の証跡を設定し、Amazon Simple Storage Service (S3)、Amazon CloudWatch Logs、Amazon CloudWatch Events に CloudTrail イベントを配信します。これは、AWS リソースのアーカイブ、分析、および変更に対応するための機能を使用するのに役立ちます。

Q: CloudTrail イベント履歴を閲覧できないようにユーザーアクセスを制限することはできますか?

はい。CloudTrail は AWS Identity and Access Management (IAM) と統合されているため、CloudTrail や CloudTrail が要求する AWS の他のリソースへのアクセスを制御するのに役立ちます。これには、アカウントのアクティビティを表示および検索するための権限を制限する機能が含まれています。ユーザー IAM ポリシーから「cloudtrail:LookupEvents」を削除することで、その IAM ユーザーがアカウントアクティビティを閲覧できないようにすることができます。

Q: 作成時からアカウントで有効にしている CloudTrail イベント履歴に関連してコストがかかりますか?

CloudTrail イベント履歴でのアカウントアクティビティの確認や検索にコストは発生しません。

Q: 自分のアカウントの CloudTrail イベント履歴を無効にできますか?

作成された CloudTrail の証跡については、ログを停止するか、証跡を削除することができます。これにより、証跡設定の一部として指定した Amazon S3 バケットへのアカウントアクティビティの配信、および CloudWatch Logs (設定されている場合) への配信も停止されます。過去 90 日間のアカウントアクティビティはそれでも収集されるので、CloudTrail コンソールでの表示や AWS コマンドラインインターフェイス (CLI) による参照が可能です。

Q: CloudTrail ではどのようなサービスがサポートされていますか?

CloudTrail では、ほとんどの AWS のサービスにおけるアカウントアクティビティイベントとサービスイベントが記録されます。サポートされているサービスのリストについては、CloudTrail ユーザーガイドの CloudTrail Supported Services を参照してください。

Q: AWS マネジメントコンソールから行われた API コールは記録されますか?

はい。CloudTrail はあらゆるクライアントからのAPI コールを記録します。AWS マネジメントコンソール、AWS Software Development Kits (SDKs)、コマンドラインツール、および高レベルの AWS のサービスから AWS API 操作が呼び出されるので、これらの呼び出しは記録されます。

Q: ログファイルは、S3 バケットに送信される前はどこに保存され、処理されますか?

リージョナルエンドポイントを持つサービス (Amazon Elastic Compute Cloud [EC2] や Amazon Relational Database Service [RDS] など) のアクティビティ情報は、アクションが行われたのと同じリージョンで取得および処理されます。その後、S3 バケットに関連付けられたリージョンに配信されます。IAM や AWS Security Token Service (STS) などの単一のエンドポイントを持つサービスのアクティビティ情報は、エンドポイントのあるリージョンで取得されます。その後、CloudTrail トレイルが設定されているリージョンで処理され、S3 バケットに関連付けられたリージョンに配信されます。

Q: すべての AWS リージョンに証跡を適用するとはどういうことですか?

すべての AWS リージョンに証跡を適用するとは、データが保存されているすべてのリージョンで AWS アカウントアクティビティを記録する証跡を作成することです。この設定は、追加された新しいリージョンにも適用されます。リージョンとパーティションの詳細については、Amazon リソースネームと AWS のサービスの名前空間のページをご覧ください。

Q: 証跡情報をすべてのリージョンに適用する利点は何ですか?

1 回の API コールまたは数回の選択で、パーティション内のすべてのリージョンに証跡情報を作成し、管理できます。すべてのリージョンにおいて AWS アカウントで実行されたアカウントアクティビティのレコードが、1 つの S3 バケットまたは CloudWatch Logs のグループに送信されます。AWS に新しいリージョンが作成された場合は、何も設定しなくても、新しいリージョンのイベント履歴を含むログファイルが送信されます。

Q: どのようにして証跡情報をすべてのリージョンに適用しますか?

CloudTrail コンソールで、証跡情報の設定ページの [apply to all Regions] に「yes」を選択します。SDK または AWS CLI を使用する場合、IsMultiRegionTrail を「true」に設定します。

Q: 証跡情報をすべてのリージョンに適用すると、どうなりますか?

証跡をすべてのリージョンに適用すると、CloudTrail によって証跡設定がレプリケーションされ、新しい証跡が作成されます。CloudTrail では各リージョンでログファイルの記録と処理を行い、すべてのリージョンでのアカウントアクティビティを含むログファイルを単一の S3 バケットおよび単一の CloudWatch Logs ロググループに配信します。オプションの Amazon Simple Notification Service (SNS) トピックを指定した場合、CloudTrail では単一の SNS トピックに配信されたすべてのログファイルについて Amazon SNS 通知を配信します。

Q: 既存の証跡情報をすべてのリージョンに適用できますか?

はい。既存の証跡情報をすべてのリージョンに適用できます。既存の証跡情報をすべてのリージョンに適用した場合、CloudTrail によりすべてのリージョンで新しい証跡情報が作成されます。以前に他のリージョンで証跡情報を作成している場合、それらの証跡情報の表示、編集、および削除は CloudTrail コンソールから実行できます。

Q: CloudTrail で、証跡設定がすべてのリージョンにレプリケーションされるまで、どれぐらいの時間がかかりますか?

通常、証跡情報設定をすべてのリージョンにレプリケーションするためにかかる時間は 30 秒未満です。

Q: 1 つのリージョンにいくつの証跡情報を作成できますか?

1 つのリージョンにつき最大 5 つの証跡情報を作成できます。すべてのリージョンに適用される証跡情報は各リージョンに存在し、それぞれのリージョンで 1 つの証跡情報として数えられます。

Q: 1 つのリージョンに複数の証跡情報を作成することにはどのような利点がありますか?

複数の証跡情報を使用することで、セキュリティ管理者、ソフトウェアデベロッパー、および IT 監査人といったさまざまな利害関係者が独自の証跡情報を作成し、管理することができます。例えば、セキュリティ管理者は、すべてのリージョンに適用される証跡情報を作成し、1 つの Amazon Key Management Service (KMS) キーを使用した暗号化を設定できます。デベロッパーはオペレーションの問題のトラブルシューティング用に、1 つのリージョンに適用される証跡情報を作成できます。

Q: CloudTrail Support はリソースレベルのアクセス権限をサポートしていますか?

はい。リソースレベルのアクセス権限を使用してきめ細かなアクセスコントロールポリシーを作成すれば、特定のユーザーに対して、特定の証跡情報へのアクセスを許可または拒否することができます。詳細については、CloudTrail のドキュメントをご覧ください。

Q: 自分の CloudTrail ログファイルは、どのようにすれば保護できますか?

デフォルトでは、CloudTrail ログファイルは S3 サーバー側の暗号化 (SSE) を使用して暗号化され、S3 バケットに保存されます。IAM または S3 バケットのポリシーを使用してログファイルへのアクセスを制御できます。さらにセキュリティを追加するには、S3 バケットで S3 多要素認証 (MFA) 削除 を有効にします。証跡の作成と更新の詳細については、CloudTrail のドキュメントを参照してください。

Q: サンプルの S3 バケットポリシーと SNS トピックポリシーはどこでダウンロードできますか?

サンプルの S3 バケットポリシーと SNS トピックポリシーは CloudTrail S3 バケットからダウンロードできます。実際の情報でサンプルポリシーを更新してから、S3 バケットまたは SNS トピックに適用しなければなりません。

Q: アクティビティログファイルを保存できる期間はどのくらいですか?

CloudTrail ログファイルの保持ポリシーで制御します。デフォルトでは、ログファイルは永続的に保存されます。S3 オブジェクトのライフサイクル管理ルールを使用して、独自の保持ポリシーを定義できます。例えば、古いログファイルを削除したり、Amazon Simple Storage Service Glacier (S3 Glacier) にアーカイブしたい場合などです。

Q: イベントではどのような情報を使用できますか?

イベントには、リクエストを実行したユーザー、使用したサービス、実行されたアクション、そのアクションのパラメータ、AWS のサービスによって返されるレスポンス要素など、関連するアクティビティについての情報が含まれます。詳細については、ユーザーガイドの CloudTrail イベントリファレンスのセクションをご覧ください。

Q: CloudTrail が API 呼び出しのイベントを送信するまで、どれくらいの時間がかかりますか?

通常、CloudTrail は、API 呼び出しから 5 分以内にイベントを送信します。CloudTrail の仕組みの詳細については、こちらを参照してください。  

Q: CloudTrail はどれくらいの頻度で S3 バケットにログファイルを送信しますか?

CloudTrail は S3 バケットに約 5 分ごとにログファイルを送信します。そのアカウントに対して API コールがない場合、CloudTrail はログファイルを送信しません。

Q: 新しいログファイルが S3 バケットに送信されたときに通知を受け取ることはできますか?

はい。Amazon SNS の通知を有効にすることで、新しいログファイルの送信に応じて即時に行動をとることができます。

Q: アカウントの CloudTrail を有効にして、S3 バケットのポリシー設定が正しくない場合は、どうなりますか?

CloudTrail ログファイルは、設定した S3 バケットポリシーに従って送信されます。バケットポリシーの設定が正しくない場合、CloudTrail からログファイルを送信できないことがあります。

Q: データイベントとは何ですか?

データイベントは、データ自体に対して、またはリソース自体の中で実行されるリソース (データプレーン) オペレーションについてのインサイトを提供します。データイベントは大量のアクティビティであることが多く、S3 オブジェクトレベル API 操作や AWS Lambda 関数呼び出し API などのオペレーションが含まれます。証跡を設定する際、データイベントはデフォルトで無効になります。CloudTrail データイベントを記録するには、サポートされているリソースまたはリソースタイプのうちアクティビティを収集したいものを明示的に追加する必要があります。管理イベントとは異なり、データイベントは追加コストを招きます。詳細については、CloudTrail の料金を参照してください。

Q: どのようにすればデータイベントを使用できますか?

CloudTrail によって記録されたデータイベントは、管理イベントと同様に S3 に送信されます。これらのイベントは、いったん有効にされると、Amazon CloudWatch Events でも使用できます。

Q: S3 データイベントとは何ですか? これらのイベントはどのように記録するのですか?

S3 データイベントは、S3 オブジェクトに対する API アクティビティを表わします。CloudTrail でこれらのアクションを記録するには、新しい証跡を作成するとき、または既存の証跡を変更するときに、データイベントセクションに S3 バケットを指定します。指定した S3 バケット内のオブジェクトに対する API のアクションはすべて CloudTrail によって記録されます。

Q: Lambda データイベントとは何ですか? これらのイベントはどのように記録するのですか?

Lambda データイベントは、Lambda 関数の実行時のアクティビティを記録します。Lambda data eventを使うと、Lambda 関数の実行時の詳細を取得することができます。Lambda 関数の実行例としては、どの IAM ユーザーやサービスが Invoke API を呼び出したか、いつ呼び出したか、どの関数が適用されたかが挙げられます。すべての Lambda データイベントは、S3 バケットと CloudWatch Events に配信されます。CLI または CloudTrail コンソールを使用して Lambda データイベントのログ作成を有効にし、新しい証跡を作成したり既存の証跡を編集することで、どの Lambda 関数をログに記録するかを選択できます。

Q: 組織に委任管理者を追加することはできますか?

はい。CloudTrail は、1 組織につき 3 名までの委任管理者の追加をサポートするようになりました。

Q: 委任管理者が作成した組織レベルの組織証跡やイベントデータストアの所有者は誰になりますか?

組織レベルで作成された組織トレイルやイベントデータストアは、委任管理者のアカウントで作成されたか、管理者アカウントで作成されたかにかかわらず、管理者アカウントが所有者となります。

Q: 委任管理者の追加機能は、どのリージョンで利用可能ですか?

現在、委任管理者のサポートは、中国 (北京、Sinnet が運営) と中国 (寧夏、NWCD が運営) 以外の、AWS CloudTrail が利用可能なすべてのリージョンでご利用いただけます。

Q: CloudTrail Insights イベントとは何ですか?

CloudTrail Insights イベントは、リソースプロビジョニングの急上昇、AWS Identity and Access Management (IAM) アクションのバースト、または定期的なメンテナンスアクティビティのギャップなど、AWS アカウントの異常なアクティビティを特定するのに役立ちます。CloudTrail Insights は、機械学習 (ML) モデルを使用して、異常なアクティビティの CloudTrail 書き込み管理イベントを継続的にモニタリングします。

異常なアクティビティが検出されると、CloudTrail Insights イベントがコンソールに表示され、CloudWatch Events、S3 バケット、およびオプションで CloudWatch Logs グループに配信されます。これにより、アラートを作成し、既存のイベント管理およびワークフローシステムと統合がより容易になります。

Q: CloudTrail Insights はどのようなタイプのアクティビティを特定するのに役立ちますか?

CloudTrail Insights は、AWS アカウントおよびリージョン内の CloudTrail 書き込み管理イベントを分析することにより、異常なアクティビティを検出します。普通でないまたは異常なイベントは、以前に確立された動作パターンまたはベースラインから予想される範囲から逸脱する AWS API 呼び出しの量として定義されます。CloudTrail Insights は、API 呼び出しの時間ベースの傾向を考慮し、ワークロードの変化に応じてアダプティブベースラインを適用することにより、通常の運用パターンの変化に適応します。

CloudTrail Insights は、動作不良のスクリプトまたはアプリケーションを検出するのに役立ちます。デベロッパーがスクリプトやアプリケーションを変更して、繰り返しループを開始したり、データベース、データストア、その他の関数などの意図しないリソースを大量に呼び出したりすることがあります。多くの場合、こうした動作は、月末の請求サイクルでコストが予想外に増加するか、実際の停止または中断が発生するまで気付かれません。CloudTrail Insights イベントを使用すると、AWS アカウントでのこうした変化を認識できるため、迅速に対処できます。

Q: CloudTrail Insights は、異常検出を使用する他の AWS のサービスとどのように連携しますか?

CloudTrail Insights は、AWS アカウントでの異常な運用アクティビティを特定します。これにより、運用上の問題に対処し、運用およびビジネスへの影響を最小限に抑えることができます。Amazon GuardDuty は、アカウントのセキュリティの改善に重点を置いており、アカウントアクティビティをモニタリングすることで脅威を検出します。Amazon Macie は、機密データを検出、分類、保護することにより、アカウントのデータ保護を改善するように設計されています。こうしたサービスは、アカウントで発生する可能性があるさまざまなタイプの問題に対して補完的に保護します。

Q: CloudTrail Insights を機能させるには、CloudTrail を設定する必要がありますか?

はい。CloudTrail Insights イベントは個々の証跡で構成されているため、少なくとも 1 つの証跡を設定する必要があります。証跡に対して CloudTrail Insights イベントを有効にすると、CloudTrail は、その証跡でキャプチャされる書き込み管理イベントの異常なパターンの監視を開始します。CloudTrail Insights が異常なアクティビティを検出すると、CloudTrail Insights イベントは証跡定義で指定された配信先に記録されます。

Q: CloudTrail Insights はどのようなイベントをモニタリングしますか?

CloudTrail Insights は書き込み管理 API 操作の異常なアクティビティを追跡します。

Q: 使用を開始する方法を教えてください。

コンソール、CLI、SDK を使用して、アカウント内の個々の証跡で CloudTrail Insights イベントを有効にできます。また、AWS Organizations 管理アカウントで設定されている組織トレイルを使用して、組織全体で CloudTrail Insights イベントを有効にすることもできます。証跡定義でラジオボタンを選択することにより、CloudTrail Insights イベントを有効にできます。

Q: CloudTrail Lake を使用する利点は何ですか?

CloudTrail Lake は、CloudTrail によって記録されたすべてのアクションと AWS Config によって記録された設定項目をクエリすることで、インシデントを調査するのに役立ちます。運用上の依存関係を取り除くのを支援することでインシデントログ記録を簡素化し、チームにまたがる複雑なデータプロセスパイプラインへの依存を減らすのに役立つツールを提供します。CloudTrail Lake では、CloudTrail ログを他の場所に移動して取り込む必要がありません。これにより、データの忠実度を維持し、ログをスロットリングさせる低レートの制限への対処を減らすことができます。また、大量の構造化ログを処理するように細かく調整されているため、ほぼリアルタイムのレイテンシーが提供されます。これにより、インシデント調査に利用できます。また、CloudTrail Lake は、SQL で使い慣れた複数属性のクエリエクスペリエンスを提供し、複数の同時クエリをスケジュールおよび処理することができます。

Q: この機能では他の AWS のサービスとどのように関連付けや連携が行われていますか?

CloudTrail は、AWS のサービス全体のユーザーアクティビティと API 使用のログの標準的なソースです。CloudTrail でログが利用できるようになったら、CloudTrail Lake を利用して AWS のサービスのアクティビティを調べることができます。ユーザーアクティビティと影響を受けるリソースをクエリおよび分析し、そのデータを使用して、悪意のあるユーザーの特定や許可のベースライン化などの問題に対処できます。

Q: カスタムアプリケーションやサードパーティのソースなど、AWS 以外のソースからイベントを取り込むにはどうすればよいですか?

CloudTrail コンソールを使用したわずかなステップでパートナー統合を見つけて追加すれば、カスタム統合を構築して管理しなくても、これらのアプリケーションからのアクティビティイベントを受信できるようになります。利用可能なパートナー統合以外のソースについては、新しい CloudTrail Lake API を使用して自分で統合を設定し、イベントを CloudTrail Lake にプッシュできます。使用を開始するには、CloudTrail ユーザーガイドの Working with CloudTrail Lake (AWS CloudTrail Lake の使用) を参照してください。

Q.AWS Config の設定項目をクエリする際に、CloudTrail Lake ではなく AWS Config アドバンストクエリを使用することを推奨するのはどのような場合ですか?

AWS Config アドバンストクエリは、現在の状態の AWS Config の設定項目 (CI) を集約してクエリしたいお客様にお勧めします。これは、在庫管理、セキュリティと運用インテリジェンス、コストの最適化、およびコンプライアンスデータでお客様を支援します。AWS Config アドバンストクエリは、AWS Config のお客様であれば無料で利用できます。 

CloudTrail Lake は、リソースの設定とコンプライアンスの履歴を含む AWS Config の設定項目に対するクエリカバレッジをサポートしています。関連する CloudTrail イベントを持つリソースの設定とコンプライアンスの履歴を分析することは、それらのリソースで誰が、いつ、何を変更したかを推測するのに役立ちます。これは、セキュリティの露出やコンプライアンス違反に関連するインシデントの根本的な原因分析に役立ちます。CloudTrail イベントと履歴のある設定項目にわたってデータを集約しクエリする必要がある場合は、CloudTrail Lake をお勧めします。 

Q.現在の AWS Config から CloudTrail Lake への設定項目の取り込みを有効にした場合、Lake は過去の設定項目 (Lake 作成前に生成されたもの) を取り込むのでしょうか、それとも新しく記録された設定項目のみを収集するのでしょうか?

CloudTrail Lake は、CloudTrail Lake が設定される前に生成された AWS Config の設定項目を取り込むことはありません。アカウントレベルまたは組織レベルで、AWS Config の新しく記録された設定項目を、作成および指定した CloudTrail Lake イベントデータストアに配信できるようになります。これらの設定項目は、指定された保持期間中は Lake でクエリ可能であり、履歴データ分析に使用することができます。 

Q: CloudTrail Lake にクエリすることで、どのユーザーが特定の設定変更を行ったかを常に知ることができますか?

複数のユーザーが 1 つのリソースに対して複数の設定変更を連続して試みた場合、リソースの最終状態の設定にマッピングされる設定項目は 1 つしか作成されない可能性があります。このようなシナリオでは、特定の時間範囲とリソース ID の CloudTrail と設定項目をクエリすることで、どのユーザーがどのような設定変更を行ったかについて 100% の相関性を提供することができない可能性があります。

Q: 以前に証跡を使用したことがある場合、既存の CloudTrail ログを既存または新規の CloudTrail Lake イベントデータストアで使用することはできますか?

はい。CloudTrail Lake のインポート機能では、(組織の証跡内の) 複数のアカウントおよび複数の AWS リージョン全体からのログを保管している S3 バケットから CloudTrail ログをコピーできます。また、個人アカウントおよび単一リージョンの証跡からもログをインポートできます。このインポート機能は、インポートの日付範囲を指定することもできるため、CloudTrail Lake での長期保管と分析に必要なログのサブセットのみをインポートできます。ログを統合したら、CloudTrail Lake を有効にした後に収集された最新のイベントから、証跡から持ち込まれた履歴イベントまで、ログに対してクエリを実行できます。

Q: このインポート機能は、S3 の元の証跡に影響を及ぼしますか? 

インポート機能は、ログ情報を S3 から CloudTrail Lake にコピーし、元のコピーを S3 にそのまま残します。

Q: CloudTrail Lake 機能を有効にした後、どの CloudTrail イベントをクエリできますか?

内部のトラブルシューティングのニーズに応じて、CloudTrail によって収集された任意のイベントカテゴリに対して CloudTrail Lake を有効にできます。イベントカテゴリには、CreateBucket や TerminateInstances などのコントロールプレーンアクティビティをキャプチャする管理イベントと、GetObject や PutObject などのデータプレーンアクティビティをキャプチャするデータイベントが含まれます。これらのイベントのいずれについても、個別の証跡サブスクリプションは必要ありません。最大 7 年間のイベント保持期間を選択でき、いつでもそのデータをクエリできます。

Q: CloudTrail Lake 機能を有効にした後、クエリの作成を開始するまでどのくらい待つ必要がありますか?

機能を有効にした後、ほぼすぐに発生するアクティビティのクエリを開始できます。

Q: CloudTrail Lake を使用して解決できる一般的なセキュリティとオペレーションのユースケースにはどのようなものがありますか?

一般的なユースケースには、不正アクセスやユーザー認証情報の侵害などのセキュリティインシデントの調査、定期的にベースラインのユーザーアクセス許可に対する監査を実行することによるセキュリティ体制の強化などがあります。必要な監査を行い、リソースへの変更がセキュリティグループなど適切なユーザーのセットによって加えられていることを確認し、組織のベストプラクティスに準拠していない変更を追跡できます。さらに、リソースに対して実行されたアクションを追跡し、変更や削除を評価し、サービスにサブスクライブしている IAM ユーザーを含む、AWS のサービスの請求に関してより深いインサイトを得ることができます。

Q: 使用を開始する方法を教えてください。

現在および新規の CloudTrail のお客様であれば、API または CloudTrail コンソールを介して機能を有効にすることで、CloudTrail Lake 機能を使用してすぐにクエリを実行できるようになります。CloudTrail コンソールの左パネルにある CloudTrail Lake タブを選択し、Create Event Data Store ボタンを選択してイベント保持期間 (最大 7 年間) を選択します。その後、CloudTrail が記録するすべてのイベントカテゴリ (管理イベントとデータイベント) からイベント選択を行い、開始します。

さらに、サンプルクエリを使用して、AssumeRole の承認失敗のレコードの識別など、一般的なシナリオのクエリの作成を開始したり、独自のクエリを作成して検索を開始したりできます。

Q: 複数の AWS アカウントを利用中です。すべてのアカウントのログファイルを 1 つの S3 バケットに送信したいのですが、可能でしょうか?

はい。複数のアカウントの保存先として、1 つの S3 バケットを設定できます。詳細な手順については、CloudTrail ユーザーガイドの 1 つの S3 バケットにログファイルを集計する方法のセクションを参照してください。

Q: CloudTrail と CloudWatch Logs の統合とは何ですか?

CloudTrail を CloudWatch Logs と統合すると、CloudTrail が取得した管理イベントやデータイベントが、指定した CloudWatch Logs ロググループの CloudWatch Logs ログストリームに送られます。

Q: CloudTrail と CloudWatch Logs を統合する利点は何ですか?

この統合により、CloudTrail が取得したアカウントアクティビティの SNS 通知を受け取ることができます。例えば、CloudWatch アラームを作成して、セキュリティグループとネットワークアクセスコントロールリスト (ACL) を作成、変更、削除する API コールのモニタリングができます。

Q: CloudTrail と CloudWatch Logs の統合を有効にするには、どうすればよいですか?

CloudTrail コンソールで CloudWatch Logs ロググループと IAM ロールを指定すると、CloudTrail と CloudWatch Logs の統合が有効になります。また、AWS SDK または AWS CLI を使用して統合を有効にすることもできます。

Q: CloudTrail と CloudWatch Logs の統合を有効にするとどうなりますか?

統合を有効にすると、CloudTrail は、指定した CloudWatch Logs ロググループ内の CloudWatch Logs ログストリームに継続的にアカウントアクティビティを送ります。また、CloudTrail は、これまでと同じように S3 バケットへのログ配信も続けます。

Q: どの AWS リージョンで CloudTrail と CloudWatch Logs の統合がサポートされていますか?

CloudWatch Logs がサポートされているリージョンで、この統合はサポートされています。詳細については、AWS 全般のリファレンスの「リージョンとエンドポイント」を参照してください。

Q: CloudTrail から CloudWatch Logs へのアカウントアクティビティを含むイベントの配信はどのように行われますか?

CloudTrail では、CloudWatch Logs にアカウントアクティビティを配信するためにユーザーが指定した IAM ロールが使用されます。IAM ロールの権限は、CloudWatch Logs ログストリームにイベントを配信するために必要なものだけに限定してください。IAM ロールのポリシーを確認するには、CloudTrail ドキュメントのユーザーガイドを参照してください。

Q: CloudTrail と CloudWatch Logs の統合を有効にすると、どのような利用料が発生しますか?

CloudTrail と CloudWatch Logs の統合を有効にした後は、CloudWatch Logs と CloudWatch の標準の利用料が請求されます。詳細については、CloudWatch の料金ページを参照してください。

Q: AWS KMS によるサーバー側の暗号化を使用した CloudTrail ログファイル暗号化の利点は何ですか?

SSE-KMS による CloudTrail ログファイルの暗号化を使用すると、KMS キーでログファイルを暗号化することにより、S3 バケットに配信される CloudTrail ログファイルに追加のセキュリティレイヤーを加えることができます。CloudTrail では、デフォルトで、S3 のサーバー側の暗号化を使用して、S3 バケットに配信されるログファイルを暗号化します。

Q: CloudTrail ログファイルを取り込んで処理するアプリケーションを持っています。アプリケーションに何らかの変更を加える必要はありますか?

SSE-KMS により、S3 ではログファイルを自動的に復号するため、アプリケーションを変更する必要はありません。通常どおり、S3 GetObject アクセス許可と AWS KMS Decrypt アクセス許可のようなアプリケーションに適切なアクセス許可があることを確認する必要があります。

Q: CloudTrail ログファイルの暗号化はどのように設定しますか?

AWS マネジメントコンソール、AWS CLI または AWS SDK を使用して、ログファイルの暗号化を設定できます。詳細な手順については、ドキュメントをご覧ください。

Q: SSE-KMS を使用して暗号化を設定すると、どのような料金が発生しますか?

SSE-KMS を使用して暗号化を設定すると、標準の AWS KMS 料金が発生します。詳細については、AWS KMS の料金ページをご覧ください。

Q: CloudTrail ログファイルの整合性の検証とは何ですか?

CloudTrail ログファイルの整合性の検証機能では、CloudTrail ログファイルが特定の S3 バケットに配信されてから、そのログファイルが変更されていないか、削除されたか、変更されたかどうかを判断できます。

Q: CloudTrail ログファイルの整合性を検証する利点は何ですか?

ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスで役立てるために利用できます。

Q: CloudTrail ログファイルの整合性の検証を有効にするには、どうすればよいですか?

コンソール、AWS CLI、または AWS SDK から CloudTrail ログファイルの整合性の検証機能を有効にできます。

Q: ログファイルの整合性の検証機能を有効にすると、どうなりますか?

ログファイルの整合性の検証機能を有効にすると、CloudTrail からダイジェストファイルが毎時間配信されます。ダイジェストファイルには、S3 バケットに配信されたログファイルに関する情報と、それらのログファイルのハッシュ値が含まれています。また、S3 メタデータセクションに以前のダイジェストファイルのデジタル署名と現在のダイジェストファイルのデジタル署名が含まれています。ダイジェストファイル、デジタル署名、ハッシュ値に関する詳細については、CloudTrail のドキュメントをご覧ください。

Q: ダイジェストファイルはどこに配信されますか?

ダイジェストファイルは、ログファイルが配信された S3 バケットに配信されます。ただし、詳細なアクセスコントロールポリシーを適用できるように、異なるフォルダーに配信されます。詳細については、CloudTrail のドキュメントのダイジェストファイル構造のセクションをご覧ください。

Q: CloudTrail によって配信されたログファイルまたはダイジェストファイルの整合性は、どのように検証できますか?

AWS CLI を使用すると、ログファイルまたはダイジェストファイルの整合性を検証できます。独自のツールを作成して、検証を行うこともできます。ログファイルの整合性の検証に AWS CLI を使用する方法の詳細については、CloudTrail のドキュメントをご覧ください。

Q: すべてのリージョンおよび複数のアカウントにわたる自分のログファイルすべてを 1 つの S3 バケットに集約します。ダイジェストファイルは同じ S3 バケットに配信されますか?

はい。すべてのリージョンおよび複数のアカウントにわたるダイジェストファイルが、CloudTrail によって同じ S3 バケットに配信されます。

Q: AWS CloudTrail Processing Library とは何ですか?

AWS CloudTrail Processing Library は、CloudTrail ログファイルの読み取りと処理を行うアプリケーションの作成をより容易にする Java ライブラリです。CloudTrail Processing Library は GitHub からダウンロードできます。

Q: CloudTrail Processing Library にはどのような機能がありますか?

CloudTrail Processing Library は、SQS キューの継続的なポーリング、Amazon Simple Queue Service (SQS) メッセージの読み取りと解析などのタスクを処理する機能を提供します。また、S3 に保存されたログファイルをダウンロードし、ログファイルのイベントを耐障害性のある方法で解析し、シリアル化することができます。詳細については、CloudTrail ドキュメントのユーザーガイドをご覧ください。

Q: CloudTrail Processing Library を使用するには、どのようなソフトウェアが必要ですか?

aws-java-sdk バージョン 1.9.3 および Java 1.7 以降が必要です。

Q: CloudTrail はどのように請求されますか?

CloudTrail では、お客様のアカウントの過去 90 日分の管理イベントを無料で閲覧、検索、ダウンロードすることができます。トレイルを作成することで、進行中の管理イベントのコピーを 1 つ無料で S3 に配信できます。CloudTrail の証跡が設定されると、お客様の使用量に基づいて S3 の料金が適用されます。

証跡を使用して、データイベントを含むイベントの追加コピーを配信できます。データイベントや管理イベントの追加コピーについては料金が発生します。詳細は料金ページをご覧ください。

Q: 管理イベントを含む証跡が 1 つのみあり、それをすべてのリージョンに適用する場合、料金は発生しますか?

いいえ。管理イベントの最初のコピーは各リージョンで無料で配信されます。

Q: 無料の管理イベントを含む既存の証跡情報でデータイベントを有効にした場合、課金されますか?

はい。データイベントについてのみ課金されます。管理イベントの最初のコピーは無料で配信されます。

Q: AWS パートナーソリューションは、CloudTrail で記録されたイベントの分析にどのように役立ちますか?

複数のパートナーが CloudTrail ログファイルを分析する統合ソリューションを提供しています。これらのソリューションには、変更の追跡、トラブルシューティング、セキュリティ分析などの機能が含まれています。詳細については、CloudTrail パートナーのセクションを参照してください。

Q: CloudTrail Lakeに利用可能なソースとして統合をオンボードするにはどうすればよいですか?

統合を開始するには、パートナーオンボーディングガイドをご覧ください。パートナー開発チームまたはパートナーソリューションアーキテクトが、CloudTrail Lake チームと連携し、より詳しく掘り下げたり、さらに質問をしたりすることができます。

Q: CloudTrail を有効にすると、AWS リソースのパフォーマンスに影響したり、API 呼び出しのレイテンシーが増加したりしますか?

いいえ。CloudTrail を有効にしても、AWS リソースのパフォーマンスや API の呼び出しのレイテンシーに影響はありません。