常時稼動

AWS CloudTrail はすべての AWS アカウントで有効にされ、アカウントの作成時点からアカウントアクティビティを記録します。CloudTrail では、手動で設定しなくても、サポート対象のサービスで過去 90 日間に行った作成、変更、削除の操作のアカウントアクティビティを表示およびダウンロードできます。

イベント履歴

直近の AWS のアカウントアクティビティを表示、検索、ダウンロードできます。これにより、AWS アカウントのリソースの変更を把握できるため、セキュリティのプロセスを強化することや、運用上の問題解決を容易にすることができます。

マルチリージョン設定

ある 1 つのアカウントについて、複数のリージョンから 1 つの Amazon S3 バケットにログファイルを配信するように AWS CloudTrail を設定できます。1 つの設定がすべてのリージョンに適用されるため、既存のリージョンにも新たにサービスを起動したリージョンにも全体にわたりすべての設定が等しく適用されます。詳細な手順については、AWS CloudTrail ユーザーガイドの 1 つの Amazon S3 バケットにログファイルを集計する方法のセクションを参照してください。

ログファイルの整合性の検証

Amazon S3 バケットに格納されている AWS CloudTrail ログファイルの整合性を検証して、CloudTrail から Amazon S3 バケットにログファイルが配信された後にログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。

ログファイルの暗号化

AWS CloudTrail では、デフォルトで、指定された Amazon S3 バケットに配信されるすべてのログファイルを Amazon S3 サーバー側の暗号化 (SSE) を使用して暗号化します。場合によっては、AWS Key Management Service (AWS KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることができます。Amazon S3 では、お客様に復号権限があれば、自動的にログファイルを復号します。詳細については、AWS KMS で管理されたキーによる CloudTrail ログファイルの暗号化 (SSE-KMS) をご覧ください。

データイベント

CloudTrail でデータイベントログを有効にすることで、オブジェクトレベルの API アクティビティを記録し、誰がリクエストを行ったか、どこでいつリクエストが行われたかなどの詳細情報を受け取ることができます。データイベントは、リソース自体またはリソース内で実行されたリソース操作 (データプレーンアクション) を記録します。多くの場合、データイベントは大量のアクティビティです。CloudTrail データイベントログには、Amazon S3 オブジェクトレベル API、AWS Lambda 関数の Invoke API、Amazon DynamoDB 項目レベル API などの操作が含まれます。たとえば、すべての DynamoDB テーブルまたは特定の DynamoDB テーブルで API アクションをログに記録して、作成、読み取り、更新、または削除された項目を判別できます。CloudTrail でデータイベントをログに記録する方法、およびデータイベントをログに記録できるリソースの詳細については、CloudTrail ドキュメント証跡のデータイベントのログ記録を参照してください。

管理イベント

管理イベントは、AWS アカウントのリソースに対して実行される管理 (「コントロールプレーン」) オペレーションへの洞察を提供します。例えば、Amazon EC2 インスタンスの作成、削除、変更などの管理アクションを記録できます。各イベントについて、AWS アカウント、IAM ユーザーのロール、アクションを開始したユーザーの IP アドレス、アクションの時間、影響を受けたリソースなどの詳細を取得できます。

CloudTrail Insights

リソースプロビジョニングの急上昇、AWS Identity and Access Management (IAM) アクションのバースト、または定期的なメンテナンスアクティビティのギャップなど、AWS アカウントの異常なアクティビティを特定します。AWS 組織全体で CloudTrail Insights イベントを有効にするか、CloudTrail トレイルの個々の AWS アカウントで有効にすることができます。

統合

AWS Lambda

Amazon S3 バケット通知機能を活用すれば、オブジェクトにより作成されたイベントを AWS Lambda にパブリッシュするよう Amazon S3 に指示できます。CloudTrail により S3 バケットにログが書き込まれると、Amazon S3 により Lambda 関数が呼び出され、CloudTrail により記録されたアクセスレコードが処理されます。

Amazon CloudWatch Logs

AWS CloudTrail を Amazon CloudWatch Logs と統合すると、CloudTrail で記録された管理とデータのイベントを CloudWatch Logs に送信できるようになります。CloudWatch Logs では、メトリクスフィルターを作成することにより、イベントのモニタリングと検索を実行できるようになります。また、AWS Lambda や Amazon Elasticsearch Service といった AWS の他のサービスにイベントをストリーミングできるようになります。

Amazon CloudWatch Events

AWS CloudTrail と Amazon CloudWatch Events を統合すれば、AWS のリソースへの変更に対して自動的に応答することができます。CloudWatch Events を使用すると、AWS CloudTrail により特定のイベントが記録されたときに、実行すべきアクションを決定できます。例えば、CloudTrail により Amazon EC2 セキュリティグループに対する変更 (新しい進入ルールの追加など) が記録された場合、このアクティビティを AWS Lambda 関数に送信する CloudWatch イベントのルールを作成できます。これにより、IT ヘルプデスクシステムでチケットを作成するためのワークフローを Lambda で実行できるようになります。

AWS CloudTrail の料金の詳細

料金ページを見る
構築を始めましょう。
AWS CloudTrail の使用を開始する
ご不明な点がありますか?
お問い合わせ