全般

Q: AWS CloudTrail とは何ですか?

AWS CloudTrail は、アカウントのアクティビティを記録し、ログファイルを Amazon S3 バケットに送信するウェブサービスです。

Q: CloudTrail の利点は何ですか?

CloudTrail によって、アカウントに対して行われたアクションが記録されるため、ユーザーアクティビティを把握しやすくなります。CloudTrail では、リクエストを実行したユーザー、使用したサービス、実行されたアクション、そのアクションのパラメーター、AWS のサービスによって返されたレスポンス要素など、各アクションの重要な情報が記録されます。この情報は、AWS リソースに対して加えられた変更を追跡し、操作に関する問題を解決するために役立ちます。CloudTrail によって、内部のポリシーや規制基準に準拠しやすくなります。詳細については、AWS コンプライアンスのホワイトペーパー「Security at Scale: Logging in AWS」を参照してください。

Q: CloudTrail はどのようなユーザー向けですか?

リソースの変更を追跡する必要がある場合、ユーザーアクティビティに関する簡単な疑問を知りたい場合、コンプライアンスを実証する場合、トラブルシューティングをする場合、セキュリティ分析を実行する場合に CloudTrail を使用できます。

開始方法

Q: AWS の新規ユーザーまたは既存のユーザーで CloudTrail の設定をしていない場合、アカウントアクティビティを確認するために何かを有効にする、または設定する必要がありますか?

いいえ。アカウントアクティビティの確認をするために必要なものは何もありません。AWS CloudTrail コンソールまたは AWS CLI にアクセスして、過去 90 日間までのアカウントアクティビティを確認できます。

Q: CloudTrail イベント履歴で、アカウント内のすべてのアカウントアクティビティを表示できますか?

AWS CloudTrail では、現在のリージョンで過去 90 日間に確認した CloudTrail イベント履歴の結果のみを表示し、こちらにある AWS サービスをサポートしています。にリストアップされた AWS のサービスをサポートします。このようなイベントは、API コールおよびアカウントアクティビティの作成、変更、削除の管理イベントに限定されます。すべての管理イベント、データイベント、読み込み専用アクティビティを含むアカウントアクティビティの完全な記録については、CloudTrail の証跡を設定する必要があります。

Q: アカウントアクティビティの確認に使用できるのは、どの検索フィルターですか?

時間範囲の他に、イベント名、ユーザー名、リソース名、イベントソース、イベント ID、リソースタイプの属性のうち 1 つを指定できます。

Q: 設定されている証跡がなくても検索イベントの CLI コマンドを使用できますか?

はい。CloudTrail コンソールにアクセスするか、CloudTrail API/CLI を使用して、過去 90 日間のアカウントアクティビティを確認できます。

Q: CloudTrail の設定や証跡の作成によって使用可能になる CloudTrail の追加機能には、何がありますか?

CloudTrail の証跡を設定することで、Amazon S3、Amazon CloudWatch Logs、Amazon Amazon CloudWatch Events に CloudTrail イベントを配信できます。これにより、AWS リソース内でアーカイブ、分析、変更の対応に役立つ機能が利用できるようになります。

Q: CloudTrail イベント履歴の閲覧について、アカウント内のユーザーのアクセスを制限することはできますか?

はい。CloudTrail はAWS Identity and Access Management (IAM) と統合されているため、CloudTrail や CloudTrail が要求する AWS の他のリソースに対するアクセスを制御できます。これには閲覧権限やアカウントアクティビティの検索を制限することが含まれます。これはユーザーの IAM ポリシーから "cloudtrail:LookupEvents" を削除することで実行でき、その後、その IAM ユーザーはアカウントアクティビティを表示できないようになります。

Q: 作成時からアカウントで有効にしている CloudTrail イベント履歴に関連してコストがかかりますか?

CloudTrail イベント履歴でのアカウントアクティビティの確認や検索にコストは発生しません。

Q: 自分のアカウントの CloudTrail イベント履歴を無効にできますか?

お客様が作成した CloudTrail の証跡のいずれについても、ログ作成の停止や証跡の削除を実行できます。これにより、証跡設定の一部として指定した S3 バケットへのアカウントアクティビティの配信も停止されることになります。CloudWatch Logs への配信を設定している場合も同様に停止されます。過去 90 日間のアカウントアクティビティはそれでも収集されるので、CloudTrail コンソールでの表示や AWS CLI による参照が可能です。

サービスとリージョンのサポート

Q: CloudTrail ではどのようなサービスがサポートされていますか?

AWS CloudTrail では、ほとんどの AWS のサービスにおけるアカウントアクティビティイベントとサービスイベントが記録されます。サポートされているサービスのリストについては、CloudTrail ユーザーガイドCloudTrail Supported Services を参照してください。

Q: AWS マネジメントコンソールから行われた API コールは記録されますか?

はい。CloudTrail はあらゆるクライアントからの API の呼び出しを記録します。AWS マネジメントコンソール、AWS SDK、コマンドラインツール、および高レベルの AWS サービスから AWS API が呼び出されるので、これらの呼び出しは記録されます。

Q: ログファイルは、Amazon S3 バケットに送信される前はどこに保存され、処理されますか?

リージョンエンドポイントを使用したサービス (EC2、RDS など) のアクティビティ情報は、アクションの実行先と同じリージョンで取得および処理され、使用している Amazon S3 バケットに関連付けられたリージョンに配信されます。単一のエンドポイントを使用したサービス (IAM、STS など) のアクション情報は、エンドポイントが存在するリージョンで取得され、CloudTrail の証跡が設定されたリージョンで処理され、使用している Amazon S3 バケットに関連付けられたリージョンに配信されます。

証跡情報をすべてのリージョンに適用する

Q: 証跡情報をすべてのリージョンに適用するとは、どのようなことですか?

証跡情報をすべてのリージョンに適用するとは、すべてのリージョンの AWS アカウントアクティビティを記録する証跡を作成することを指します。この設定は、追加される新しいリージョンにも適用されます。リージョンとパーティションの詳細については、Amazon リソースネーム (ARN) と AWS サービスの名前空間のページをご覧ください。

Q: 証跡情報をすべてのリージョンに適用する利点は何ですか?

1 回の API コールまたは数回のクリックで、パーティション内のすべてのリージョンに証跡情報を作成し、管理できます。すべてのリージョンにおいて AWS アカウントで実行されたアカウントアクティビティの記録が、1 つの S3 バケットまたは CloudWatch Logs のロググループに送信されます。AWS に新しいリージョンが作成された場合は、何も設定しなくても、新しいリージョンのイベント履歴を含むログファイルが送信されます。

Q: どのようにして証跡情報をすべてのリージョンに適用しますか?

CloudTrail コンソールで、証跡情報の設定ページの [apply to all regions] に yes を選択します。SDK または AWS CLI を使用する場合、IsMultiRegionTrail を true に設定します。

Q: 証跡情報をすべてのリージョンに適用すると、どうなりますか?

証跡をすべてのリージョンに適用すると、CloudTrail によって証跡設定がレプリケーションされ、すべてのリージョンに新しい証跡が作成されます。CloudTrail では各リージョンでログファイルの記録と処理を行い、すべての AWS リージョンでのアカウントアクティビティを含むログファイルを単一の S3 バケットおよび単一の CloudWatch Logs ロググループに配信します。オプションの SNS トピックを指定した場合、CloudTrail では単一の SNS トピックに配信されたすべてのログファイルについて SNS 通知を配信します。

Q: 既存の証跡情報をすべてのリージョンに適用できますか?

Q: はい、既存の証跡情報をすべてのリージョンに適用できます。既存の証跡情報をすべてのリージョンに適用した場合、CloudTrail によりすべてのリージョンで新しい証跡情報が作成されます。以前に他のリージョンで証跡情報を作成している場合、それらの証跡情報の表示、編集、および削除は CloudTrail コンソールから実行できます。

Q: CloudTrail で、証跡設定がすべてのリージョンにレプリケーションされるまで、どれぐらいの時間がかかりますか?

通常、証跡情報設定をすべてのリージョンにレプリケーションするためにかかる時間は 30 秒未満です。

複数の証跡情報

Q: 1 つの AWS リージョンにいくつの証跡情報を作成できますか?

1 つの AWS リージョンにつき最大 5 つの証跡情報を作成できます。すべてのリージョンに適用される証跡情報は各リージョンに存在し、それぞれのリージョンで 1 つの証跡情報として数えられます。

Q: 1 つの AWS リージョンに複数の証跡情報を作成することにはどのような利点がありますか?

複数の証跡情報を使用することで、セキュリティ管理者、ソフトウェア開発者、および IT 監査人といったさまざまな利害関係者が独自の証跡情報を作成し、管理することができます。例えば、セキュリティ管理者は、すべてのリージョンに適用される証跡情報を作成し、1 つの KMS キーを使用した暗号化を設定できます。開発者はオペレーションの問題のトラブルシューティング用に、1 つのリージョンに適用される証跡情報を作成できます。

Q: CloudTrail Support はリソースレベルのアクセス権限をサポートしていますか?

はい。リソースレベルのアクセス権限を使用してきめ細かなアクセスコントロールポリシーを作成すれば、特定のユーザーに対して、特定の証跡情報へのアクセスを許可または拒否することができます。詳細については、CloudTrail のドキュメントをご覧ください。

セキュリティと有効期限切れ

Q: 自分の CloudTrail ログファイルは、どのようにすれば保護できますか?

デフォルトでは、CloudTrail ログファイルは S3 Server Side Encryption(SSE)を使用して暗号化され、S3 バケットに保存されます。IAM または S3 バケットのポリシーを使用してログファイルへのアクセスを制御できます。さらにセキュリティを追加するには、S3 バケットで S3 Multi Factor Authentication(MFA)Delete を有効にします。証跡の作成と更新の詳細については、CloudTrail のドキュメントを参照してください。

Q: サンプルの S3 バケットポリシーと SNS トピックポリシーはどこでダウンロードできますか?

サンプルの S3 バケットポリシーSNS トピックポリシーは CloudTrail S3 バケットからダウンロードできます。実際の情報でサンプルポリシーを更新してから、S3 バケットまたは SNS トピックに適用する必要があります。

Q: アクティビティログファイルを保存できる期間はどのくらいですか?

CloudTrail ログファイルの保持ポリシーで制御します。デフォルトでは、ログファイルは永続的に保存されます。Amazon S3 オブジェクトのライフサイクル管理ルールを使用して、独自の保持ポリシーを定義できます。例えば、古いログファイルを削除したり、Amazon Glacier にアーカイブしたりすることができます。

イベントのペイロード、タイムライン、送信頻度

Q: イベントではどのような情報を使用できますか?

イベントには、リクエストを実行したユーザー、使用したサービス、実行されたアクション、そのアクションのパラメータ、AWS のサービスによって返されるレスポンス要素など、関連するアクティビティについての情報が含まれます。詳細については、ユーザーガイドの CloudTrail イベントリファレンスのセクションをご覧ください。

Q: CloudTrail が API 呼び出しのイベントを送信するまで、どれくらいの時間がかかりますか?

通常、CloudTrail は、API 呼び出しから 15 分以内にイベントを送信します。

Q: CloudTrail はどれくらいの頻度で Amazon S3 バケットにログファイルを送信しますか?

CloudTrail は S3 バケットに約 5 分ごとにログファイルを送信します。そのアカウントに対して API の呼び出しがない場合は、ログファイルを送信しません。

Q: 新しいログファイルが Amazon S3 バケットに送信されたときに通知を受け取ることはできますか?

はい。Amazon SNS の通知を有効にすることで、新しいログファイルの送信に応じて即時に行動をとることができます。

Q: アカウントの CloudTrail を有効にして、Amazon S3 バケットのポリシー設定が正しくない場合は、どうなりますか?

CloudTrail ログファイルは、設定した S3 バケットポリシーに従って送信されます。バケットポリシーの設定が正しくない場合、CloudTrail からログファイルを送信できないことがあります。

データイベント

Q: データイベントとは何ですか?

データイベントは、リソース上またはリソース内で実行されるリソース (「データプレーン」) 操作のインサイトを提供します。データイベントは、大量のアクティビティであることが多く、Amazon S3 オブジェクトレベルの API や Lambda 関数 Invoke API などの操作が含まれます。証跡を設定する際、データイベントはデフォルトで無効になります。CloudTrail データイベントを記録するには、サポートされているリソースまたはリソースタイプのうちアクティビティを収集したいものを明示的に追加する必要があります。管理イベントとは異なり、データイベントは追加コストを招きます。詳細については、CloudTrail の料金表を参照してください。

Q: どのようにすればデータイベントを使用できますか?

AWS CloudTrail によって記録されたデータイベントは、管理イベントと同様に、S3 に送信されます。これらのイベントは、いったん有効にされると、Amazon CloudWatch Events でも使用できます。

Q: Amazon S3 データイベントとは何ですか? これらのイベントはどのように記録するのですか?

Amazon S3 データイベントは、Amazon S3 オブジェクトに対する API アクティビティを表します。CloudTrail でこれらのアクションを記録するには、新しい証跡を作成するとき、または既存の証跡を変更するときに、データイベントセクションに S3 バケットを指定します。指定した S3 バケット内のオブジェクトに対する API のアクションはすべて CloudTrail によって記録されます。

Q: AWS Lambda データイベントとは何ですか? これらのイベントはどのように記録するのですか?

AWS Lambda データイベントは、Lambda 関数の実行アクティビティを記録します。Lambda データイベントでは、Invoke API を呼び出した IAM ユーザーやサービス、呼び出しが行われた時刻、実行された関数など、Lambda 関数の実行に関する詳細を取得できます。すべての Lambda データイベントは、Amazon S3 バケットと Amazon CloudWatch Events に配信されます。AWS CLI または AWS CloudTrail コンソールを使用して AWS Lambda データイベントのログ作成を有効にし、新しい証跡を作成したり既存の証跡を編集することで、どの Lambda 関数をログに記録するかを選択できます。

ログファイルの集計

Q: 複数の AWS アカウントを利用中です。すべてのアカウントのログファイルを 1 つの S3 バケットに送信したいのですが、可能でしょうか?

はい。複数のアカウントの保存先として、1 つの S3 バケットを設定できます。詳細な手順については、AWS CloudTrail ユーザーガイドの 1 つの Amazon S3 バケットにログファイルを集計する方法のセクションを参照してください。

CloudWatch Logs との統合

Q: CloudTrail と CloudWatch Logs の統合とは何ですか?

CloudTrail を CloudWatch Logs と統合すると、CloudTrail が取得した管理イベントやデータイベントが、指定した CloudWatch Logs ロググループの CloudWatch Logs ログストリームに送られます。

Q: CloudTrail と CloudWatch Logs を統合する利点は何ですか?

この統合により、CloudTrail が取得したアカウントアクティビティの SNS 通知を受け取ることができます。例えば、CloudWatch アラームを作成して、セキュリティグループとネットワーク ACL を作成、変更、削除する API コールのモニタリングができます。

Q: CloudTrail と CloudWatch ログの統合を有効にするには、どうすればよいですか?

CloudTrail コンソールで CloudWatch Logs ロググループと IAM ロールを指定すると、CloudTrail と CloudWatch Logs の統合が有効になります。また、AWS SDK または AWS CLI を使用して統合を有効にすることもできます。

Q: CloudTrail と CloudWatch ログの統合を有効にするとどうなりますか?

統合を有効にすると、CloudTrail は、指定した CloudWatch Logs ロググループ内の CloudWatch Logs ログストリームにアカウントアクティビティを送り続けます。また、CloudTrail は、これまでと同じように Amazon S3 バケットへのログ配信も続けます。

Q: どの AWS リージョンで CloudTrail と CloudWatch ログの統合がサポートされていますか?

CloudWatch Logs がサポートされているリージョンで、この統合はサポートされています。詳細については、アマゾン ウェブ サービス全般のリファレンスリージョンとエンドポイントをご覧ください。

Q: CloudTrail から CloudWatch Logs へのアカウントアクティビティを含むイベントの配信はどのように行われますか?

CloudTrail では、CloudWatch Logs にアカウントアクティビティを配信するためにユーザーが指定した IAM ロールが使用されます。IAM ロールの権限は、CloudWatch Logs ログストリームにイベントを配信するために必要なものだけに限定してください。IAM ロールのポリシーを確認するには、CloudTrail ドキュメントのユーザーガイドを参照してください。

Q: CloudTrail と CloudWatch ログの統合を有効にすると、どのような利用料が発生しますか?

CloudTrail と CloudWatch Logs の統合を有効にした後は、CloudWatch Logs と CloudWatch の標準の利用料が請求されます。詳細については、CloudWatch の料金表ページを参照してください。

AWS Key Management Service (KMS) を使用した CloudTrail ログファイルの暗号化

Q: KMS によるサーバー側の暗号化を使用した CloudTrail ログファイル暗号化の利点は何ですか?

SSE-KMS を使用した CloudTrail ログファイルの暗号化を使用すると、KMS キーでログファイルを暗号化することにより、Amazon S3 バケットに配信される CloudTrail ログファイルに追加のセキュリティレイヤーを加えることができます。CloudTrail では、デフォルトで、Amazon S3 のサーバー側の暗号化を使用して、Amazon S3 バケットに配信されるログファイルを暗号化します。

Q: CloudTrail ログファイルを取り込んで処理するアプリケーションを持っています。アプリケーションに何らかの変更を加える必要はありますか?

SSE-KMS により、Amazon S3 ではログファイルを自動的に復号するため、アプリケーションを変更する必要はありません。通常どおり、アプリケーションに適切なアクセス許可 (Amazon S3 GetObject アクセス許可と KMS Decrypt アクセス許可) があることを確認する必要があります。

Q: CloudTrail ログファイルの暗号化はどのように設定しますか?

AWS マネジメントコンソール、AWS CLI または AWS SDK を使用して、ログファイルの暗号化を設定できます。詳細な手順については、ドキュメントをご覧ください。

Q: SSE-KMS を使用して暗号化を設定すると、どのような料金が発生しますか?

SSE-KMS を使用して暗号化を設定すると、標準の AWS KMS 料金が発生します。詳細については、AWS KMS の料金ページをご覧ください。

CloudTrail ログファイルの整合性の検証

Q: CloudTrail ログファイルの整合性の検証とは何ですか?

CloudTrail ログファイルの整合性の検証機能では、CloudTrail ログファイルが特定の Amazon S3 バケットに配信されてから、そのログファイルが変更されていないか、削除されたか、変更されたかどうかを判断できます。

Q: CloudTrail ログファイルの整合性を検証する利点は何ですか?

ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスで役立てるために利用できます。

Q: CloudTrail ログファイルの整合性の検証を有効にするには、どうすればよいですか?

AWS マネジメントコンソール、AWS CLI、または AWS SDK から CloudTrail ログファイルの整合性の検証機能を有効にできます。

Q: ログファイルの整合性の検証機能を有効にすると、どうなりますか?

ログファイルの整合性の検証機能を有効にすると、CloudTrail からダイジェストファイルが毎時間配信されます。ダイジェストファイルには、Amazon S3 バケットに配信されたログファイルに関する情報、それらのログファイルのハッシュ値、以前のダイジェストファイルのデジタル署名、Amazon S3 のメタデータセクションにある現在のダイジェストファイルのデジタル署名が含まれています。ダイジェストファイル、デジタル署名、ハッシュ値に関する詳細については、CloudTrail のドキュメントをご覧ください。

Q: ダイジェストファイルはどこに配信されますか?

ダイジェストファイルは、ログファイルが配信された Amazon S3 バケットに配信されます。ただし、詳細なアクセスコントロールポリシーを適用できるように、異なるフォルダーに配信されます。詳細については、CloudTrail のドキュメントのダイジェストファイル構造のセクションを参照してください。

Q: CloudTrail によって配信されたログファイルまたはダイジェストファイルの整合性は、どのように検証できますか?

AWS CLI を使用すると、ログファイルまたはダイジェストファイルの整合性を検証できます。独自のツールを作成して、検証を行うこともできます。ログファイルの整合性の検証に AWS CLI を使用する方法の詳細については、CloudTrail のドキュメントをご覧ください。

Q: すべてのリージョンおよび複数のアカウントにわたる自分のログファイルすべてを 1 つの Amazon S3 バケットに集約します。ダイジェストファイルは同じ Amazon S3 バケットに配信されますか?

はい。すべてのリージョンおよび複数のアカウントにわたるダイジェストファイルが、CloudTrail によって同じ Amazon S3 バケットに配信されます。

AWS CloudTrail Processing Library

Q: AWS CloudTrail Processing Library とは何ですか?

AWS CloudTrail Processing Library は、CloudTrail ログファイルの読み取りと処理を行うアプリケーションの作成を容易にする Java ライブラリです。CloudTrail Processing Library は GitHub からダウンロードできます。

Q: CloudTrail Processing Library にはどのような機能がありますか?

CloudTrail Processing Library は、SQS キューの継続的なポーリング、SQS メッセージの読み取りと解析、S3 に格納されているログファイルのダウンロード、耐障害性のある方法によるログファイル内のイベントの解析とシリアル化など、さまざまなタスクを処理する機能があります。詳細については、CloudTrail ドキュメントのユーザーガイドセクションをご覧ください。

Q: CloudTrail Processing Library を使用するには、どのようなソフトウェアが必要ですか?

aws-java-sdk バージョン 1.9.3 および Java 1.7 以降が必要です。

料金

Q: AWS CloudTrail はどのように請求されますか?

AWS CloudTrail では、サポートされているサービスにおける作成、変更、削除オペレーションについて過去 90 日間のアカウントアクティビティを、無料で表示、ダウンロードできます。

CloudTrail 証跡を作成しても AWS CloudTrail で料金は発生しません。また、各リージョン内における管理イベントの最初のコピーは無料の証跡に指定された S3 バケットに配信されます。CloudTrail 証跡が設定された後、お客様の使用状況に基づいて Amazon S3 料金が適用されます。すべてのデータイベント、またはそのリージョンで記録された管理イベントの追加コピーについては、公開されている料金プランに従って料金が発生します。たとえば、同じリージョン内に複数リージョンの証跡と単一リージョンの証跡を作成した場合は、そのリージョンで記録された管理イベントのコピーに対して請求されます。

Q: 管理イベントを含む証跡が 1 つのみあり、それをすべてのリージョンに適用する場合、料金は発生しますか?

いいえ。管理イベントの最初のコピーは各リージョンで無料で配信されます。

Q: 無料の管理イベントを含む既存の証跡情報でデータイベントを有効にした場合、課金されますか?

はい。データイベントについてのみ課金されます。管理イベントの最初のコピーは無料で配信されます。

パートナー

Q: AWS パートナーソリューションは、CloudTrail で記録されたイベントの分析にどのように役立ちますか?

複数のパートナーが CloudTrail ログファイルを分析する統合ソリューションを提供しています。これらのソリューションには、変更の追跡、トラブルシューティング、セキュリティ分析などの機能が含まれています。詳細については、CloudTrail パートナーのセクションを参照してください。

その他

Q: CloudTrail を有効にすると、AWS リソースのパフォーマンスに影響したり、API 呼び出しのレイテンシーが増加したりしますか?

いいえ。CloudTrail を有効にしても、AWS リソースのパフォーマンスや API の呼び出しのレイテンシーに影響はありません。

AWS CloudTrail パートナーの詳細

パートナーページにアクセスする
使ってみませんか?
AWS CloudTrail を始める
ご不明な点がおありですか?
お問い合わせ