AWS CloudTrail のアイコン

AWS CloudTrail

AWS アカウントの API アクティビティを記録・監視するサービス

約 1 分で読めます

何ができるか

AWS CloudTrail は、AWS アカウント内で行われたすべての API コール (操作) を記録するサービスです。誰が、いつ、どの IP アドレスから、どのリソースに対して、何の操作を行ったかを詳細に記録します。記録されたログは S3 バケットに保存され、セキュリティ監査、コンプライアンス対応、トラブルシューティングに活用できます。

どのような場面で使うか

セキュリティインシデントの調査で「誰がいつセキュリティグループを変更したか」を特定する場面や、コンプライアンス監査で「過去 90 日間の IAM ポリシー変更履歴」を提出する場面で活用されています。また、意図しないリソース削除の原因調査や、不正アクセスの検知にも利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

ビルの防犯カメラに例えるとわかりやすいでしょう。防犯カメラは、誰がいつビルに入退館し、どの部屋にアクセスしたかを 24 時間記録しています。CloudTrail は AWS アカウントの防犯カメラで、すべての操作を記録しています。何か問題が起きたときに録画を巻き戻して確認するように、CloudTrail のログを調べて原因を特定できます。

CloudTrail とは

AWS CloudTrail は、AWS アカウント内のアクティビティを記録する監査ログサービスです。AWS マネジメントコンソールでの操作、AWS CLI からのコマンド実行、SDK を使った API コールなど、あらゆる操作がイベントとして記録されます。CloudTrail はデフォルトで有効になっており、過去 90 日間のイベント履歴を無料で確認できます。

イベントの種類

CloudTrail は 3 種類のイベントを記録します。管理イベントは、リソースの作成・変更・削除などの操作 (EC2 インスタンスの起動、IAM ポリシーの変更など) を記録します。データイベントは、リソース上で実行されるデータ操作 (S3 オブジェクトの読み書き、Lambda 関数の呼び出しなど) を記録します。インサイトイベントは、通常と異なる異常なアクティビティパターンを自動検出して記録します。

証跡の作成と長期保存

デフォルトのイベント履歴は 90 日間しか保持されません。長期保存が必要な場合は「証跡 (Trail)」を作成し、ログを S3 バケットに継続的に配信します。証跡を作成すると、管理イベントが自動的に S3 に保存されます。データイベントやインサイトイベントは、証跡の設定で明示的に有効にする必要があります。CloudWatch Logs にもログを送信でき、リアルタイムのアラート設定が可能です。

はじめかた

CloudTrail はすべての AWS アカウントでデフォルトで有効になっています。CloudTrail コンソールの「イベント履歴」から、過去 90 日間の操作履歴をすぐに確認できます。長期保存やデータイベントの記録が必要な場合は、「証跡の作成」から S3 バケットを指定して証跡を設定します。組織全体のログを一元管理する場合は、AWS Organizations と連携した組織証跡を作成します。

注意点

  • デフォルトのイベント履歴は 90 日間のみ。コンプライアンス要件で長期保存が必要な場合は証跡を作成して S3 に保存すること
  • データイベント (S3 オブジェクト操作、Lambda 呼び出しなど) は証跡で明示的に有効にしないと記録されない。大量のデータイベントを記録するとコストが増加するため、対象リソースを絞ること
  • CloudTrail ログの改ざん防止には、ログファイルの整合性検証を有効にし、S3 バケットの MFA Delete を設定すること

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

AWS AppFabric のアイコン AWS AppFabric SaaS アプリケーションの監査ログを標準化して集約するサービス AWS AppConfig のアイコン AWS AppConfig アプリケーションの設定を安全にデプロイ・管理するサービス AWS Chatbot のアイコン AWS Chatbot Slack や Microsoft Teams で AWS リソースの通知と操作を行うインタラクティブエージェント AWS CloudFormation のアイコン AWS CloudFormation テンプレートで AWS リソースをコードとして定義・プロビジョニングする IaC サービス Amazon CloudWatch のアイコン Amazon CloudWatch AWS リソースとアプリケーションの監視・ログ管理・アラームを提供するサービス AWS Config のアイコン AWS Config AWS リソースの構成変更を記録・評価し、コンプライアンスを継続的に監視するサービス AWS Control Tower のアイコン AWS Control Tower マルチアカウント環境のセットアップとガバナンスを自動化するサービス Amazon CloudWatch RUM のアイコン Amazon CloudWatch RUM Web アプリケーションのリアルユーザーモニタリングでクライアント側のパフォーマンスとエラーを収集するサービス AWS Health Dashboard のアイコン AWS Health Dashboard AWS サービスの稼働状況とアカウントに影響するイベントを表示するダッシュボード Amazon CloudWatch Internet Monitor インターネット経由のアプリケーションパフォーマンスと可用性を監視するサービス Amazon Managed Grafana のアイコン Amazon Managed Grafana Grafana のマネージドサービスで、AWS データソースの可視化とダッシュボード構築を提供する Amazon Managed Service for Prometheus のアイコン Amazon Managed Service for Prometheus Prometheus 互換のマネージドモニタリングサービスで、コンテナメトリクスの収集・クエリ・アラートを提供する AWS Marketplace のアイコン AWS Marketplace サードパーティソフトウェアの検索・購入・デプロイを提供するデジタルカタログ AWS Organizations のアイコン AWS Organizations 複数の AWS アカウントを一元管理するサービス AWS Resilience Hub のアイコン AWS Resilience Hub アプリケーションの耐障害性を評価し、復旧目標の達成状況を可視化するサービス AWS Service Catalog のアイコン AWS Service Catalog 承認済みの IT サービスを組織全体にセルフサービスで提供するカタログサービス AWS Service Quotas AWS サービスのクォータ (上限値) を一元管理し、引き上げリクエストを行うサービス AWS Systems Manager Parameter Store のアイコン AWS Systems Manager Parameter Store 設定データやシークレットを安全に格納・管理する階層型ストア AWS Systems Manager のアイコン AWS Systems Manager AWS リソースとオンプレミスサーバーを一元管理できる運用管理サービス AWS Trusted Advisor のアイコン AWS Trusted Advisor AWS 環境のコスト最適化、パフォーマンス、セキュリティ、耐障害性をチェックし改善を推奨するサービス AWS Well-Architected Tool のアイコン AWS Well-Architected Tool AWS Well-Architected フレームワークに基づいてワークロードのアーキテクチャをレビューするツール AWS X-Ray のアイコン AWS X-Ray 分散アプリケーションのリクエストをトレースし、パフォーマンスのボトルネックを特定するサービス