AWS CloudTrail を使用したオペレーションのログ記録

 対象者: システム管理者 

Amazon QuickSight は AWS CloudTrail と統合されます。このサービスは、ユーザー、ロール、または AWS のサービスが Amazon QuickSight で実行したアクションを記録します。CloudTrail は、Amazon QuickSight に対するすべての API コールをイベントとしてキャプチャします。キャプチャされたコールには、 Amazon QuickSight コンソールとすべてのコード呼び出し Amazon QuickSight API操作。証跡を作成する場合は、CloudTrail のイベントなど、Amazon S3 バケットへの Amazon QuickSight イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、Amazon QuickSight に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、Amazon の Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルの AWS KMS によって管理されたキーを使用したサーバー側の暗号化 (SSE-KMS) を使用できます。サーバー側の暗号化を有効にすると、ログファイルが暗号化されますが、SSE-KMS を使用したダイジェストファイルは暗号化されません。ダイジェストファイルは、Amazon S3 で管理された暗号化キー (SSE-S3) を使用して暗号化されます。

CloudTrail の詳細 (設定して有効にする方法など) については、AWS CloudTrail User Guide を参照してください。

CloudTrail での Amazon QuickSight 情報

 対象者: システム管理者 

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Amazon QuickSight でサポートされるイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベントとして AWS のサービスの他のイベントと共に [Event history (イベント履歴)] に記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

Amazon QuickSightのイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで作成した証跡がすべての AWS リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と CloudTrail ログで収集されたデータに基づいた行動のためにその他の AWS サービスを設定できます。詳細については、以下を参照してください。

Amazon QuickSight は CloudTrail ログファイルのイベントとして次のアクションを記録します。

  • リクエストが、root 認証情報と AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたか.

  • リクエストが、IAM ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報によって行われたか

  • リクエストが、別の AWS サービスによって送信されたかどうか

ユーザー ID の詳細については、「CloudTrail userIdentity 要素」を参照してください。

デフォルトでは、各 Amazon QuickSight ログエントリには以下の情報が含まれます。

  • userIdentity – ユーザー ID

  • eventTime – イベント時間

  • eventId – イベント ID

  • readOnly – 読み取り専用

  • awsRegion – AWS リージョン

  • eventSource (quicksight) – イベントのソース (Amazon QuickSight)

  • eventType (AwsServiceEvent) – イベントタイプ (AWS サービスイベント)

  • recipientAccountId (お客様の AWS アカウント) – 受信者アカウント ID (お客様の AWS アカウント)

注記

CloudTrail では、Amazon QuickSight によってプロビジョンされたユーザーは unknown と表示されます。このように表示されるのは、これらのユーザーが既知の IAM ID のタイプではないためです。

例: Amazon QuickSight ログファイルエントリ

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、BatchCreateUser アクションを示す CloudTrail ログエントリです。

{ "eventVersion":"1.05", "userIdentity": { "type":"Root", "principalId":"123456789012", "arn":"arn:aws:iam::123456789012:root", "accountId":"123456789012", "userName":"test-username" }, "eventTime":"2017-04-19T03:16:13Z", "eventSource":"quicksight.amazonaws.com", "eventName":"BatchCreateUser", "awsRegion":"us-west-2", "requestParameters":null, "responseElements":null, "eventID":"e7d2382e-70a0-3fb7-9d41-a7a913422240", "readOnly":false, "eventType":"AwsServiceEvent", "recipientAccountId":"123456789012", "serviceEventDetails": { "eventRequestDetails": { "users": { "test-user-11": { "role":"USER" }, "test-user-22": { "role":"ADMIN" } } }, "eventResponseDetails": { "validUsers":[ ], "InvalidUsers":[ "test-user-11", "test-user-22" ] } } }