AWS CloudTrail を使用したオペレーションのログ記録
| 対象者: システム管理者 |
Amazon QuickSight は AWS CloudTrail と統合されます。このサービスは、ユーザー、ロール、または AWS のサービスが Amazon QuickSight で実行したアクションを記録します。CloudTrail は、Amazon QuickSight に対するすべての API コールをイベントとしてキャプチャします。キャプチャされたコールには、 Amazon QuickSight コンソールとすべてのコード呼び出し Amazon QuickSight API操作。証跡を作成する場合は、CloudTrail のイベントなど、Amazon S3 バケットへの Amazon QuickSight イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、Amazon QuickSight に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、Amazon の Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルの AWS KMS によって管理されたキーを使用したサーバー側の暗号化 (SSE-KMS) を使用できます。サーバー側の暗号化を有効にすると、ログファイルが暗号化されますが、SSE-KMS を使用したダイジェストファイルは暗号化されません。ダイジェストファイルは、Amazon S3 で管理された暗号化キー (SSE-S3) を使用して暗号化されます。
CloudTrail の詳細 (設定して有効にする方法など) については、AWS CloudTrail User Guide を参照してください。
トピック
CloudTrail での Amazon QuickSight 情報
| 対象者: システム管理者 |
CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Amazon QuickSight でサポートされるイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベントとして AWS のサービスの他のイベントと共に [Event history (イベント履歴)] に記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。
Amazon QuickSightのイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで作成した証跡がすべての AWS リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と CloudTrail ログで収集されたデータに基づいた行動のためにその他の AWS サービスを設定できます。詳細については、以下を参照してください。
-
複数のリージョンから CloudTrail ログファイルを受け取ると複数のアカウントから CloudTrail ログファイルを受け取る
-
クロスアカウント CloudTrail ロギング の AWS Lake Formation 開発者ガイド ガイド – このトピックには、クロスアカウントでプリンシパルIDを含める手順が含まれています。 CloudTrail ログ。
Amazon QuickSight は CloudTrail ログファイルのイベントとして次のアクションを記録します。
-
リクエストが、root 認証情報と AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたか.
-
リクエストが、IAM ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報によって行われたか
-
リクエストが、別の AWS サービスによって送信されたかどうか
ユーザー ID の詳細については、「CloudTrail userIdentity 要素」を参照してください。
デフォルトでは、各 Amazon QuickSight ログエントリには以下の情報が含まれます。
-
userIdentity – ユーザー ID
-
eventTime – イベント時間
-
eventId – イベント ID
-
readOnly – 読み取り専用
-
awsRegion – AWS リージョン
-
eventSource (quicksight) – イベントのソース (Amazon QuickSight)
-
eventType (AwsServiceEvent) – イベントタイプ (AWS サービスイベント)
-
recipientAccountId (お客様の AWS アカウント) – 受信者アカウント ID (お客様の AWS アカウント)
CloudTrail では、Amazon QuickSight によってプロビジョンされたユーザーは unknown と表示されます。このように表示されるのは、これらのユーザーが既知の IAM ID のタイプではないためです。
例: Amazon QuickSight ログファイルエントリ
証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
次の例は、BatchCreateUser アクションを示す CloudTrail ログエントリです。
{
"eventVersion":"1.05",
"userIdentity":
{
"type":"Root",
"principalId":"123456789012",
"arn":"arn:aws:iam::123456789012:root",
"accountId":"123456789012",
"userName":"test-username"
},
"eventTime":"2017-04-19T03:16:13Z",
"eventSource":"quicksight.amazonaws.com",
"eventName":"BatchCreateUser",
"awsRegion":"us-west-2",
"requestParameters":null,
"responseElements":null,
"eventID":"e7d2382e-70a0-3fb7-9d41-a7a913422240",
"readOnly":false,
"eventType":"AwsServiceEvent",
"recipientAccountId":"123456789012",
"serviceEventDetails":
{
"eventRequestDetails":
{
"users":
{
"test-user-11":
{
"role":"USER"
},
"test-user-22":
{
"role":"ADMIN"
}
}
},
"eventResponseDetails":
{
"validUsers":[
],
"InvalidUsers":[
"test-user-11",
"test-user-22"
]
}
}
}
