常時稼動

AWS CloudTrail はすべての AWS アカウントで有効にされ、アカウントの作成時点からアカウントアクティビティを記録します。CloudTrail では、手動で設定しなくても、サポート対象のサービスで過去 90 日間に行った作成、変更、削除の操作のアカウントアクティビティを表示およびダウンロードできます。

イベント履歴

直近の AWS のアカウントアクティビティを表示、検索、ダウンロードできます。これにより、AWS アカウントのリソースの変更を把握できるため、セキュリティのプロセスを強化することや、運用上の問題解決を容易にすることができます。

マルチリージョン設定

ある 1 つのアカウントについて、複数のリージョンから 1 つの Amazon S3 バケットにログファイルを配信するように AWS CloudTrail を設定できます。1 つの設定がすべてのリージョンに適用されるため、既存のリージョンにも新たにサービスを起動したリージョンにも全体にわたりすべての設定が等しく適用されます。詳細な手順については、AWS CloudTrail ユーザーガイドの 1 つの Amazon S3 バケットにログファイルを集計する方法のセクションを参照してください。

ログファイルの整合性の検証

Amazon S3 バケットに格納されている AWS CloudTrail ログファイルの整合性を検証して、CloudTrail から Amazon S3 バケットにログファイルが配信された後にログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。

ログファイルの暗号化

AWS CloudTrail では、デフォルトで、指定された Amazon S3 バケットに配信されるすべてのログファイルを Amazon S3 サーバー側の暗号化 (SSE) を使用して暗号化します。場合によっては、AWS Key Management Service (AWS KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることができます。Amazon S3 では、お客様に復号権限があれば、自動的にログファイルを復号します。詳細については、AWS KMS で管理されたキーによる CloudTrail ログファイルの暗号化 (SSE-KMS) をご覧ください。

データイベント

データイベントは、データ自体に対して、またはリソース自体の中で実行されるリソース (「データプレーン」) オペレーションについての洞察を提供します。データイベントは大量のアクティビティであることが多く、Amazon S3 オブジェクトレベル API や AWS Lambda 関数呼び出し API などのオペレーションが含まれます。例えば、Amazon S3 オブジェクトに対する API アクションを記録し、AWS アカウント、IAM ユーザーロール、発信者の IP アドレス、API コールの時間などの詳細情報を受け取ることができます。Lambda 関数のアクティビティを記録し、Invoke API コールを行った IAM ユーザーやサービス、呼び出しがいつ行われたか、どの関数が実行されたかなど、Lambda 関数の実行に関する詳細を受け取ることもできます。

管理イベント

管理イベントは、AWS アカウントのリソースに対して実行される管理 (「コントロールプレーン」) オペレーションへの洞察を提供します。例えば、Amazon EC2 インスタンスの作成、削除、変更などの管理アクションを記録できます。各イベントについて、AWS アカウント、IAM ユーザーの役割、アクションを開始したユーザーの IP アドレス、アクションの時間、影響を受けたリソースなどの詳細を取得できます。

統合

AWS Lambda

Amazon S3 バケット通知機能を活用すれば、オブジェクトにより作成されたイベントを AWS Lambda にパブリッシュするよう Amazon S3 に指示できます。CloudTrail により S3 バケットにログが書き込まれると、Amazon S3 により Lambda 関数が呼び出され、CloudTrail により記録されたアクセスレコードが処理されます。

Amazon CloudWatch Logs

AWS CloudTrail を Amazon CloudWatch Logs と統合すると、CloudTrail で記録された管理とデータのイベントを CloudWatch Logs に送信できるようになります。CloudWatch Logs では、メトリクスフィルターを作成することにより、イベントのモニタリングと検索を実行できるようになります。また、AWS Lambda や Amazon Elasticsearch Service といった AWS の他のサービスにイベントをストリーミングできるようになります。

Amazon CloudWatch Events

AWS CloudTrail と Amazon CloudWatch Events を統合すれば、AWS のリソースへの変更に対して自動的に応答することができます。CloudWatch Events を使用すると、AWS CloudTrail により特定のイベントが記録されたときに、実行すべきアクションを決定できます。例えば、CloudTrail により Amazon EC2 セキュリティグループに対する変更 (新しい進入ルールの追加など) が記録された場合、このアクティビティを AWS Lambda 関数に送信する CloudWatch イベントのルールを作成できます。これにより、IT ヘルプデスクシステムでチケットを作成するためのワークフローを Lambda で実行できるようになります。

AWS CloudTrail の料金の詳細

料金ページを見る
構築を始めましょう。
AWS CloudTrail の使用を開始する
ご不明な点がおありですか?
お問い合わせ