【要対応】AWS CloudTrail:シングルリージョントレイルにおけるグローバルサービスイベントの変更発表 [AWS Account: 123456789012]メールの対応方法

【要対応】AWS CloudTrail:シングルリージョントレイルにおけるグローバルサービスイベントの変更発表 [AWS Account: 123456789012]メールの対応方法

AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS CloudTrail
#AWS
及川正基

及川正基

facebook logohatena logotwitter logo
Clock Icon2021.09.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

AWSから2021年11月22日より、AWS CloudTrailで以下のグルーバルサービスイベントを取得する方法が変更すると連絡がありました。

  • Amazon CloudFront

  • AWS Identity and Access Management(IAM)

  • AWS Management Console SignIn

  • AWS Security Token Service(STS)

現在使用している単一リージョンの証跡はマルチリージョンで有効にしていると思いますが、現状の設定のまま2021年11月22日以降も継続して上記グローバルサービスイベントを取得できるでしょうか。

必要な設定などがあれば対応方法を教えて下さい。

2021年11月22日以降にAWS CloudTrailのグローバルサービスイベントの仕様がどう変わるの?

単一リージョンの証跡においてincludeGlobalServiceEventsオプションが削除されます。

単一リージョンの証跡でincludeGlobalServiceEventstrueに設定されている場合、その証跡が米国東部(バージニア北部:us-east-1)リージョン以外では、2021年11月22日よりグローバルサービスイベントを取得できなくなります。

そのため、証跡が米国東部(バージニア北部:us-east-1)リージョン以外でもグローバルサービスイベントを引き続き取得されたい場合は、IsMultiRegionTrailtrueに設定する必要があります。

なお、現在のAWS CloudTrailの証跡の設定情報においては、AWS CLIにて以下のコマンド1により確認することが可能です。

$ aws cloudtrail get-trail --name <value>

どう対応すればいいの?

米国東部(バージニア北部:us-east-1)リージョン以外の単一リージョンの証跡を既に持っている場合は証跡設定を変更するだけで、グローバルサービスのイベントを引き続き取得できます。

もしくは、グローバルサービスイベントのログを発信している米国東部(バージニア北部:us-east-1)リージョンで、新しい単一リージョンの証跡を作成することで取得することができます。

【例1】グローバルサービスイベントを有効にした単一リージョンの証跡をマルチリージョンの証跡に変更する

Amazon CloudFront、AWS Identity and Access Management(IAM)、AWS Management Console SignIn、およびAWS Security Token Service(STS)からのイベントを受信し続けるためには、IncludeGlobalServiceEventstrueに設定されている単一リージョンの証跡の場合、update-trailコマンドにより、既存の証跡をマルチリージョンの証跡に変換します。

以下のコマンド例では、MyExistingSingleRegionTrailという単一リージョンの証跡をマルチリージョンの証跡に更新します。

$ aws cloudtrail update-trail --name MyExistingSingleRegionTrail --is-multi-region-trail
  • [例]コマンド実行前(抜粋) 
    {
    "IncludeGlobalServiceEvents": true,
    "Name": "MyExistingSingleRegionTrail",
    "IsMultiRegionTrail": false
}

  • [例]コマンド実行後(抜粋)

    {
    "IncludeGlobalServiceEvents": true,   
    "Name": "MyExistingSingleRegionTrail",
    "IsMultiRegionTrail": true
}

【例2】グローバルサービスイベントのログを発信している米国東部(バージニア北部:us-east-1)リージョンで、新しい単一リージョンの証跡を作成する

米国東部(バージニア北部:us-east-1)リージョンにて、以下のコマンド例2を実行することで、Amazon CloudFront、AWS Identity and Access Management(IAM)、AWS Management Console SignIn、およびAWS Security Token Service(STS)のイベントを取得するMyTrailという単一リージョンの証跡を作成します。

$ aws cloudtrail create-trail --name MyTrail --s3-bucket-name MyBucket --no-include-global-service-events

参考資料

  1. --nameオプションにて、お使い頂いているCloudTrailの証跡名を入力してください。 

  2. --s3-bucket-nameにはS3バケット名を入力してください。米国東部(バージニア北部:us-east-1)リージョンはグローバルイベントのログを発信するため、--no-include-global-service-eventsオプションを指定します。 

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました

[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました

User avatar
あしざわ
2024.11.17
EventBridge を使って特定の IP 以外からのアクセスキー利用をメール通知してみる

EventBridge を使って特定の IP 以外からのアクセスキー利用をメール通知してみる

User avatar
ヒラネ
2024.11.16
【小ネタ】EC2 のマネジメントコンソール画面より対象リソースに関する CloudTrail イベント履歴を確認する方法

【小ネタ】EC2 のマネジメントコンソール画面より対象リソースに関する CloudTrail イベント履歴を確認する方法

User avatar
片方 裕人
2024.11.05
หมดกังวลกับการใช้คลาวด์! เข้าใจหลักความปลอดภัยและความรับผิดชอบในการใช้งาน

หมดกังวลกับการใช้คลาวด์! เข้าใจหลักความปลอดภัยและความรับผิดชอบในการใช้งาน

User avatar
SamindaSansaiya
2024.10.18
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.