【要対応】AWS CloudTrail:シングルリージョントレイルにおけるグローバルサービスイベントの変更発表 [AWS Account: 123456789012]メールの対応方法

2021.09.22

困っていた内容

AWSから2021年11月22日より、AWS CloudTrailで以下のグルーバルサービスイベントを取得する方法が変更すると連絡がありました。

  • Amazon CloudFront

  • AWS Identity and Access Management(IAM)

  • AWS Management Console SignIn

  • AWS Security Token Service(STS)

現在使用している単一リージョンの証跡はマルチリージョンで有効にしていると思いますが、現状の設定のまま2021年11月22日以降も継続して上記グローバルサービスイベントを取得できるでしょうか。

必要な設定などがあれば対応方法を教えて下さい。

2021年11月22日以降にAWS CloudTrailのグローバルサービスイベントの仕様がどう変わるの?

単一リージョンの証跡においてincludeGlobalServiceEventsオプションが削除されます。

単一リージョンの証跡でincludeGlobalServiceEventstrueに設定されている場合、その証跡が米国東部(バージニア北部:us-east-1)リージョン以外では、2021年11月22日よりグローバルサービスイベントを取得できなくなります。

そのため、証跡が米国東部(バージニア北部:us-east-1)リージョン以外でもグローバルサービスイベントを引き続き取得されたい場合は、IsMultiRegionTrailtrueに設定する必要があります。

なお、現在のAWS CloudTrailの証跡の設定情報においては、AWS CLIにて以下のコマンド1により確認することが可能です。

$ aws cloudtrail get-trail --name <value>

どう対応すればいいの?

米国東部(バージニア北部:us-east-1)リージョン以外の単一リージョンの証跡を既に持っている場合は証跡設定を変更するだけで、グローバルサービスのイベントを引き続き取得できます。

もしくは、グローバルサービスイベントのログを発信している米国東部(バージニア北部:us-east-1)リージョンで、新しい単一リージョンの証跡を作成することで取得することができます。

【例1】グローバルサービスイベントを有効にした単一リージョンの証跡をマルチリージョンの証跡に変更する

Amazon CloudFront、AWS Identity and Access Management(IAM)、AWS Management Console SignIn、およびAWS Security Token Service(STS)からのイベントを受信し続けるためには、IncludeGlobalServiceEventstrueに設定されている単一リージョンの証跡の場合、update-trailコマンドにより、既存の証跡をマルチリージョンの証跡に変換します。

以下のコマンド例では、MyExistingSingleRegionTrailという単一リージョンの証跡をマルチリージョンの証跡に更新します。

$ aws cloudtrail update-trail --name MyExistingSingleRegionTrail --is-multi-region-trail
  • [例]コマンド実行前(抜粋)
    {
        "IncludeGlobalServiceEvents": true,
        "Name": "MyExistingSingleRegionTrail",
        "IsMultiRegionTrail": false
    }

  • [例]コマンド実行後(抜粋)

    {
        "IncludeGlobalServiceEvents": true,   
        "Name": "MyExistingSingleRegionTrail",
        "IsMultiRegionTrail": true
    }

【例2】グローバルサービスイベントのログを発信している米国東部(バージニア北部:us-east-1)リージョンで、新しい単一リージョンの証跡を作成する

米国東部(バージニア北部:us-east-1)リージョンにて、以下のコマンド例2を実行することで、Amazon CloudFront、AWS Identity and Access Management(IAM)、AWS Management Console SignIn、およびAWS Security Token Service(STS)のイベントを取得するMyTrailという単一リージョンの証跡を作成します。

$ aws cloudtrail create-trail --name MyTrail --s3-bucket-name MyBucket --no-include-global-service-events

参考資料


  1. --nameオプションにて、お使い頂いているCloudTrailの証跡名を入力してください。 

  2. --s3-bucket-nameにはS3バケット名を入力してください。米国東部(バージニア北部:us-east-1)リージョンはグローバルイベントのログを発信するため、--no-include-global-service-eventsオプションを指定します。