AWS CloudTrail は、監査、セキュリティモニタリング、運用上のトラブルシューティングを可能にします。CloudTrail は、AWS のサービス全体のユーザーアクティビティや API の利用状況をイベントとして記録します。CloudTrail イベントは、「誰が、どこで、いつ、何をしたのか?」という疑問に答えるのに役立ちます。

CloudTrail で、Amazon Simple Storage Service (Amazon S3) バケットの作成や削除などのリソースに対するコントロールプレーンアクションをキャプチャする管理イベントと、Amazon S3 オブジェクトの読み取りや書き込みなどのリソース内のデータプレーンアクションをキャプチャするデータイベントの 2 種類のイベントを記録します。

CloudTrail はこれらのイベントを 3 つの機能で利用します。

  • 証跡は、Amazon S3 へのイベントの配信と保存を可能にし、オプションで Amazon CloudWatch Logs や EventBridge への配信も可能です。
  • インサイトは、コントロールプレーンイベントを分析し、API コールボリュームの異常な動作を検出します。
  • イベント履歴は、コントロールプレーンアクションの 90 日間の履歴を無料で提供します。CloudTrail は、中核となる監査機能の一環として、暗号化とログファイルの検証のためにお客様が管理するキーを提供し、不変性を保証します。


常時稼動

AWS CloudTrail は、すべての AWS アカウントで有効になっており、手動での設定を必要とせずに、AWS のサービス全体の管理イベントを記録します。AWS コンソールの CloudTrail または AWS CLI Lookup API を使用して、アカウントの管理イベントの直近 90 日間の履歴を無料で表示、検索、ダウンロードできます。詳細については、ユーザーガイドの CloudTrail イベント履歴でのイベントの表示を参照してください。

継続的なイベントを保存やモニタリングのために配信する

証跡を作成することで、進行中の管理イベントやデータイベントを Amazon S3 や、オプションで Amazon CloudWatch Logs に配信することができます。これにより、完全なイベントの詳細を取得し、必要に応じてイベントをエクスポートし、保存することができます。詳細については、ユーザーガイドの AWS アカウントの証跡を作成するを参照してください。CloudTrail の Amazon EventBridge との統合により、イベントに対応してルールベースのアラートを作成し、自動化されたワークフローを設定する便利な方法を提供しています。

マルチリージョン

AWS CloudTrail を設定して、複数のリージョンからのイベントを 1 つの場所にキャプチャして、保存することができます。これにより、すべての設定が、既存のリージョンにも新たにサービスを起動したリージョンにも全体にわたり等しく適用されます。詳細については、ユーザーガイドの 1 つの Amazon S3 バケットに CloudTrail ログファイルを集計するを参照してください。

マルチアカウント

AWS CloudTrail を設定して、複数のアカウントからのイベントを 1 つの場所にキャプチャして、保存することができます。これにより、すべての設定が既存および新規に作成されたすべてのアカウントに等しく適用されます。詳細については、ユーザーガイドの組織の証跡を作るを参照してください。

ログファイルの整合性の検証

Amazon S3 バケットに格納されている AWS CloudTrail ログファイルの整合性を検証して、CloudTrail から Amazon S3 バケットにログファイルが配信された後にログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。

ログファイルの暗号化

AWS CloudTrail では、デフォルトで、指定された Amazon S3 バケットに配信されるすべてのログファイルを Amazon S3 サーバー側の暗号化 (SSE) を使用して暗号化します。場合によっては、AWS Key Management Service (KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることができます。Amazon S3 では、お客様に復号権限があれば、自動的にログファイルを復号します。詳細については、AWS KMS で管理されたキーによるログファイルの暗号化 (SSE-KMS) をご覧ください。

CloudTrail Insights

リソースプロビジョニングの急上昇、AWS Identity and Access Management (IAM) アクションのバースト、または定期的なメンテナンスアクティビティのギャップなど、AWS アカウントの異常なアクティビティを特定します。お客様の証跡で CloudTrail Insights のイベントを有効にすることができます。

AWS CloudTrail の料金の詳細

料金ページを見る
構築を始めましょう。
AWS CloudTrail の使用を開始する
ご不明な点がありますか?
お問い合わせ