CloudTrail データイベント
AWS CloudTrail のベストプラクティスに従い、セキュリティに敏感なワークロードについては、マルチリージョントレイルレベルでデータイベントを記録 する必要があります。コンプライアンス要件が厳しいワークロードについては、リソースレベルのアクティビティへのアクセスを監査するためにデータイベントを有効にすることをお勧めします。データイベントのログ記録により、可視性を有効にしているリソース内の変更を含め、データレベルでの監査が可能になります。
CloudTrail は、可観測性を高め、幅広いサービスのデータイベントをサポートすることで役立ちます。これらのデータイベントは、重要なコンプライアンス、リスク、およびセキュリティの目標を達成するために活用できます。このようなイベントの例としては、削除、更新、アイテムの追加などのオブジェクトレベルの API アクティビティが挙げられます。CloudTrail データイベントによって提供される可視性の向上の例としては、Amazon Bedrock のエージェントエイリアスまたはナレッジベースに対する API アクティビティ、Amazon Q Business のアプリケーションまたはデータソースに対するアクティビティ、フィーチャーストアに対する Sagemaker API アクティビティなどがあります。これらは、以下のような重要なリスク管理上のメリットをもたらします。
- 個人データおよび機密情報へのアクセスの監視
- 個人データおよび機密データの変更に対する可視性
- 個人データおよび機密情報を扱うアプリケーションにおけるアクティビティの監査
- 潜在的なデータ侵害およびプライバシーインシデントの検出
- プライバシー監査およびコンプライアンスレポートの促進*
データイベ ントの高度なイベントセレクター
データイベントを使用する場合、高度なイベントセレクターにより、イベントデータストアに取り込まれる CloudTrail イベントをより細かく制御できます。高度なイベントセレクターを使用すると、EventSource、EventName、userIdentity.arn、ResourceARN などのフィールドの値を含めたり除外したりすることができます。高度なイベントセレクターは、部分文字列のパターンマッチングによる値の包含または除外もサポートしています。これにより、セキュリティ、コンプライアンス、および運用調査の効率と精度が向上し、コスト削減にも役立ちます。たとえば、userIdentity.arn 属性に基づいて CloudTrail イベントをフィルタリングし、特定の IAM ロールまたはユーザーによって生成されたイベントを除外することができます。監視目的で頻繁に API 呼び出しを行うサービスが使用する専用の IAM ロールを除外することも可能です。これにより、CloudTrail Lake に取り込まれる CloudTrail イベントの量を大幅に削減し、関連するユーザーおよびシステムアクティビティへの可視性を維持しながらコストを低減できます。
