aws_cloudtrail_trail
account_id
タイプ: STRING
cloud_watch_logs_log_group_arn
タイプ: STRING
プロバイダー名: CloudWatchLogsLogGroupArn
説明: CloudTrail のログを配信するロググループを表す一意の識別子である Amazon Resource Name (ARN) を指定します。
cloud_watch_logs_role_arn
タイプ: STRING
プロバイダー名: CloudWatchLogsRoleArn
説明: CloudWatch Logs エンドポイントがユーザーのロググループに書き込むために想定するロールを指定します。
event_selectors
タイプ: UNORDERED_LIST_STRUCT
プロバイダー名: EventSelector
data_resources
タイプ: UNORDERED_LIST_STRUCT
プロバイダー名: DataResources
説明: CloudTrail は、基本的なイベントセレクタを持つ Amazon S3 オブジェクト、Lambda 関数、Amazon DynamoDB テーブルのデータイベントロギングをサポートしています。個々のイベントセレクタに最大 250 のリソースを指定できますが、トレイル内のすべてのイベントセレクタでデータリソースの合計数が 250 を超えることはできません。この制限は、すべてのデータイベントのリソースロギングを構成した場合は適用されません。詳細については、CloudTrail ユーザーガイドのデータイベントと CloudTrail の制限を参照してください。
type
タイプ: STRING
プロバイダー名: Type
説明: データイベントを記録するリソースタイプ。以下の基本イベントセレクタリソースタイプを指定することができます。AWS::S3::ObjectAWS::Lambda::FunctionAWS::DynamoDB::Table
以下のリソースタイプは、高度イベントセレクタでも利用可能です。基本イベントセレクタのリソースタイプは、高度イベントセレクタで有効ですが、上級イベントセレクタのリソースタイプは、基本イベントセレクタでは有効ではありません。詳しくは、AdvancedFieldSelector$Field を参照してください。AWS::S3Outposts::ObjectAWS::ManagedBlockchain::NodeAWS::S3ObjectLambda::AccessPointAWS::EC2::SnapshotAWS::S3::AccessPointAWS::DynamoDB::StreamAWS::Glue::Table
values
タイプ: UNORDERED_LIST_STRING
プロバイダー名: Values
説明: 指定したオブジェクトの Amazon Resource Name (ARN) 文字列あるいは部分 ARN 文字列の配列。- Amazon Web Services アカウントのすべての S3 バケット内のすべてのオブジェクトのデータイベントをログに記録するには、プレフィックスを
arn:aws:s3 と指定します。 また、Amazon Web Services アカウントの任意のユーザーまたはロールによって実行されたデータイベントアクティビティを、そのアクティビティが別の Amazon Web Services アカウントに属するバケットで実行されたとしても、ログに記録することができます。 - S3 バケット内のすべてのオブジェクトのデータイベントをログに記録するには、バケットと空のオブジェクトプレフィックス (
arn:aws:s3:::bucket-1/ など) を指定します。 トレイルは、この S3 バケットのすべてのオブジェクトのデータイベントをログに記録します。 - 特定のオブジェクトのデータイベントを記録するには、
arn:aws:s3:::bucket-1/example-images のように S3 バケットとオブジェクトのプレフィックスを指定します。トレイルは、プレフィックスに一致するこの S3 バケット内のオブジェクトのデータイベントをログに記録します。 - Amazon Web Services アカウント内のすべての Lambda 関数のデータイベントを記録するには、プレフィックスを
arn:aws:lambda と指定します。 また、Amazon Web Services アカウント内の任意のユーザーまたはロールによって実行された Invoke アクティビティを、そのアクティビティが別の Amazon Web Services アカウントに属する関数で実行されたとしても、ログに記録することが可能です。 - 特定の Lambda 関数のデータイベントを記録するには、関数の ARN を指定します。 Lambda 関数の ARN は正確です。例えば、関数 ARN arn:aws:lambda:us-west-2:1111111111:function:helloworld を指定すると、データイベントは arn:aws:lambda:us-west-2:1111111111:function:helloworld に対してのみロギングされます。arn:aws:Lambda:us-west-2:11111111:function:helloworld2 には記録されません。
- Amazon Web Services アカウント内のすべての DynamoDB テーブルのデータイベントを記録するには、プレフィックスを
arn:aws:dynamodb と指定します。
exclude_management_event_sources
タイプ: UNORDERED_LIST_STRING
プロバイダー名: ExcludeManagementEventSources
説明: 管理イベントをトレイルにログ記録させたくないサービスイベントソースのオプションのリスト。このリリースでは、リストは空 (フィルターを無効にする)、または kms.amazonaws.com または rdsdata.amazonaws.com を含むことによってキーマネジメントサービスまたは Amazon RDS Data API イベントをフィルタリングすることが可能です。デフォルトでは、ExcludeManagementEventSources は空で、KMS と Amazon RDS Data API イベントはトレイルにログされます。イベントソースをサポートするリージョンでのみ、管理イベントソースを除外することができます。
include_management_events
タイプ: BOOLEAN
プロバイダー名: IncludeManagementEvents
説明: イベントセレクタに、トレイルの管理イベントを含めるかどうかを指定します。 詳細については、CloudTrail ユーザーガイドの管理イベントを参照してください。デフォルトでは、この値は true です。管理イベントの最初のコピーは無料です。同じリージョン内の後続のトレイルでログを記録している管理イベントのコピーの追加には課金されます。CloudTrail の価格の詳細については、CloudTrail の価格についてを参照してください。
read_write_type
タイプ: STRING
プロバイダー名: ReadWriteType
説明: トレイルが読み取り専用イベント、書き込み専用イベント、またはすべてのイベントのいずれを記録するかを指定します。例えば、EC2 の GetConsoleOutput は読み取り専用の API 操作で、RunInstances は書き込み専用の API 操作です。 デフォルトでは、All が指定されています。
has_custom_event_selectors
タイプ: BOOLEAN
プロバイダー名: HasCustomEventSelectors
説明: トレイルにカスタムイベントセレクタがあるかどうかを指定します。
has_insight_selectors
タイプ: BOOLEAN
プロバイダー名: HasInsightSelectors
説明: トレイルが InsightSelector リストで指定されたインサイトタイプを持つかどうかを指定します。
home_region
タイプ: STRING
プロバイダー名: HomeRegion
説明: トレイルが作成されたリージョン。
include_global_service_events
タイプ: BOOLEAN
プロバイダー名: IncludeGlobalServiceEvents
説明: IAM などの Amazon Web Services グローバルサービスからの Amazon Web Services API コールを含めるには、True に設定します。それ以外は False です。
is_multi_region_trail
タイプ: BOOLEAN
プロバイダー名: IsMultiRegionTrail
説明: トレイルが 1 つのリージョンのみに存在するか、すべてのリージョンに存在するかを指定します。
is_organization_trail
タイプ: BOOLEAN
プロバイダー名: IsOrganizationTrail
説明: 組織トレイルであるかどうかを指定します。
kms_key_id
タイプ: STRING
プロバイダー名: KmsKeyId
説明: CloudTrail で配信されるログを暗号化する KMS キー ID を指定します。値は以下のフォーマットで KMS キーに完全指定された ARN です。 arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
log_file_validation_enabled
タイプ: BOOLEAN
プロバイダー名: LogFileValidationEnabled
説明: ログファイル検証を有効にするかどうかを指定します。
name
タイプ: STRING
プロバイダー名: Name
説明: CreateTrail の呼び出しによって設定されたトレイルの名前。最大文字数は 128 文字です。
s3_bucket_name
タイプ: STRING
プロバイダー名: S3BucketName
説明: CloudTrail がトレイルファイルを配信する Amazon S3 バケットの名前。Amazon S3 バケットの命名要件を参照してください。
s3_key_prefix
タイプ: STRING
プロバイダー名: S3KeyPrefix
説明: ログファイル配信用に指定したバケット名の後に付く、Amazon S3 キーのプレフィックスを指定します。詳細は、CloudTrail ログファイルの検索を参照してください。最大長は 200 文字です。
sns_topic_arn
タイプ: STRING
プロバイダー名: SnsTopicARN
説明: CloudTrail がログファイル配信時の通知送信に使用する Amazon SNS のトピックの ARN を指定します。トピック ARN の形式は以下のとおりです。 arn:aws:sns:us-east-2:123456789012:MyTopic
sns_topic_name
タイプ: STRING
プロバイダー名: SnsTopicName
説明: このフィールドは使用されなくなりました。SnsTopicARN を使用してください。
タイプ: UNORDERED_LIST_STRING
trail_arn
タイプ: STRING
プロバイダー名: TrailARN
説明: トレイルの ARN を指定します。トレイル ARN の形式は以下のとおりです。 arn:aws:cloudtrail:us-east-2:123456789012:trail/MyTrail
trail_status
タイプ: STRUCT
プロバイダー名: GetTrailStatusResponse
is_logging
タイプ: BOOLEAN
プロバイダー名: IsLogging
説明: CloudTrail トレイルが現在 Amazon Web Services API コールをロギングしているかどうか。
latest_cloud_watch_logs_delivery_error
タイプ: STRING
プロバイダー名: LatestCloudWatchLogsDeliveryError
説明: CloudWatch Logs にログを配信しようとした際に、CloudTrail が遭遇した CloudWatch Logs のエラーを表示します。
latest_cloud_watch_logs_delivery_time
タイプ: TIMESTAMP
プロバイダー名: LatestCloudWatchLogsDeliveryTime
説明: CloudTrail が CloudWatch Logs にログを配信した直近の日時を表示します。
latest_delivery_attempt_succeeded
タイプ: STRING
プロバイダー名: LatestDeliveryAttemptSucceeded
説明: このフィールドは使用されなくなりました。
latest_delivery_attempt_time
タイプ: STRING
プロバイダー名: LatestDeliveryAttemptTime
説明: このフィールドは使用されなくなりました。
latest_delivery_error
タイプ: STRING
プロバイダー名: LatestDeliveryError
説明: 指定したバケットにログファイルを配信しようとした際に、CloudTrail が遭遇した Amazon S3 エラーを表示します。詳細については、Amazon S3 API リファレンスのエラーレスポンスを参照してください。 このエラーは、宛先の S3 バケットに問題がある場合にのみ発生し、タイムアウトしたリクエストでは発生しません。問題を解決するには、新しいバケットを作成し、UpdateTrail を呼び出して新しいバケットを指定するか、CloudTrail が再びバケットに書き込めるように、既存のオブジェクトを修正します。
latest_delivery_time
タイプ: TIMESTAMP
プロバイダー名: LatestDeliveryTime
説明: CloudTrail が最後にアカウントの Amazon S3 バケットにログファイルを配信した日時を指定します。
latest_digest_delivery_error
タイプ: STRING
プロバイダー名: LatestDigestDeliveryError
説明: 指定したバケットにダイジェストファイルを配信しようとした際に、CloudTrail が遭遇した Amazon S3 エラーを表示します。詳細については、Amazon S3 API リファレンスのエラーレスポンスを参照してください。 このエラーは、宛先の S3 バケットに問題がある場合にのみ発生し、タイムアウトしたリクエストでは発生しません。問題を解決するには、新しいバケットを作成し、UpdateTrail を呼び出して新しいバケットを指定するか、CloudTrail が再びバケットに書き込めるように、既存のオブジェクトを修正します。
latest_digest_delivery_time
タイプ: TIMESTAMP
プロバイダー名: LatestDigestDeliveryTime
説明: CloudTrail が最後にアカウントの Amazon S3 バケットにダイジェストファイルを配信した日時を指定します。
latest_notification_attempt_succeeded
タイプ: STRING
プロバイダー名: LatestNotificationAttemptSucceeded
説明: このフィールドは使用されなくなりました。
latest_notification_attempt_time
タイプ: STRING
プロバイダー名: LatestNotificationAttemptTime
説明: このフィールドは使用されなくなりました。
latest_notification_error
タイプ: STRING
プロバイダー名: LatestNotificationError
説明: 通知を送信しようとしたときに CloudTrail が遭遇した Amazon SNS のエラーを表示します。Amazon SNS エラーの詳細については、Amazon SNS デベロッパーガイドを参照してください。
latest_notification_time
タイプ: TIMESTAMP
プロバイダー名: LatestNotificationTime
説明: CloudTrail がアカウントの Amazon S3 バケットに新しいログファイルを書き込んだことを通知する最新の Amazon SNS の日時を指定します。
start_logging_time
タイプ: TIMESTAMP
プロバイダー名: StartLoggingTime
説明: CloudTrail が Amazon Web Services アカウントの API コールの記録を開始した直近の日時を指定します。
stop_logging_time
タイプ: TIMESTAMP
プロバイダー名: StopLoggingTime
説明: CloudTrail が Amazon Web Services アカウントの API コールの記録を停止した直近の日時を指定します。
time_logging_started
タイプ: STRING
プロバイダー名: TimeLoggingStarted
説明: このフィールドは使用されなくなりました。
time_logging_stopped
タイプ: STRING
プロバイダー名: TimeLoggingStopped
説明: このフィールドは使用されなくなりました。
