【VPC外リージョンサービス】
CloudTrailは、AWSアカウント内で発生した APIコールの履歴を記録し、API監査を可能にするサービスです。
だれが、いつ、どのリソースに対して、どの操作を行ったのかを詳細に記録し、S3 や CloudWatch Logs に保存します。これにより、監査、不正検知、および インシデント解析 に活用することができます。
Organization Trails(組織集約) に対応しており、Organizations 配下の複数アカウントにおける証跡を一元的に管理できます。
マネジメントイベント や データイベント(S3・DynamoDBなど) を対象として詳細な操作履歴を取得でき、セキュリティ監査や運用分析に役立ちます。
CloudTrail Lake を利用することで、証跡データを蓄積し、クエリを実行して詳細な分析を行うことができます。
EventBridge と連携すれば、特定のAPIイベントをリアルタイムに検出し、通知や自動アクションを実行できます。
CloudTrail Insights(インサイト) により、通常とは異なるAPIコールパターンや異常なアクティビティを自動検出することが可能です。
AWS Detective と組み合わせることで、CloudTrailの証跡データをもとに、インシデントの根本原因分析をより効率的に行えます。
重要用語
関連サービス
Organizations
ユースケース
| API操作履歴の記録と監査 | 誰がいつどのサービスに対してどんな操作を行ったかを自動的に記録し、不正操作や誤操作の追跡に役立てる。 |
| セキュリティインシデント調査 | 怪しい挙動があったときにCloudTrailログを確認し、権限の悪用や設定変更の経路を特定する。 |
| コンプライアンス対応の証跡保管 | 監査や法令対応のために、一定期間以上CloudTrailログをS3に保存し、必要に応じてAthenaなどで検索・抽出できるようにする。 |
ベストプラクティス
| 全リージョンでの有効化 | 組織全体でCloudTrailを有効にし、すべてのAPIコールを記録する。 |
| ログの保全と暗号化 | S3に保存したトレイルログをKMSで暗号化し、改ざん防止設定を行う。 |
| インサイトイベントの利用 | 異常なAPI使用パターンを検知するためにCloudTrail Insightsを有効にする。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・サービスインフラストラクチャ ・ログデータの保存と耐久性 ・マルチリージョン・マルチアカウント管理 ・イベントデータストア(CloudTrail Lake) ・リアルタイム配信と統合 ・イベント履歴の冗長性 ・複数配信先による冗長性 |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| KMS(データの暗号化と鍵の安全管理) | 【保存先がS3(SSE-S3)の場合】 独自KMSキー不要(鍵操作、監査ができない) |
| Secrets Manager(機密情報の安全管理) | - |
| SSM Parameter Store(設定情報の一元管理) | - |
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 有効化・マルチリージョン/ログ保護/暗号化設定の準拠評価(改ざん検出に寄与) |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 Trail削除や無効化のAPI異常検知(GuardDutyの主要データソース) |
ログ・監視
| ログ出力先 | ログの種類 |
|---|---|
| CloudWatch Logs | API呼び出しログ |
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
| DeliveryErrors | S3配信エラー数 |
| NumberOfEvents | イベント記録数 |
| ValidationErrors | 検証エラー数 |
制限値(固定値/ハードリミット/ソフトリミット)
| ハードリミット | 制限値 |
|---|---|
| イベント履歴の保持期間 | 90日 |
| イベントセレクター数/証跡 | 5 |
| データイベント数/イベントセレクター | 250 |
| ログファイルサイズ | 最大50 MB |
| ソフトリミット | 制限値 |
|---|---|
| 証跡数/リージョン | 5 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| 管理イベント | 最初の証跡は無料、追加証跡は有料 |
| データイベント | S3、Lambdaのデータイベント記録数 |
| Insights | CloudTrail Insightsイベント数 |