翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# コンソールを使用してイベントデータストアを作成、更新、管理する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
CloudTrail コンソールを使用して、イベントデータストアを作成、更新、削除、および復元することができます。
CloudTrail コンソールを使用して、次の設定を更新することができます。
+ [料金オプション](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)は、**[7 年間の保持料金]** から **[延長可能な 1 年間の保持料金]** に変更できます。
+ イベントデータストアの保持期間は更新できます。保持期間によって、イベントデータをイベントデータストアに保持する期間が決まります。
+ マルチリージョンイベントデータストアを単一リージョンイベントデータストアに変換することも、単一リージョンイベントデータストアをマルチリージョンイベントデータストアに変換することもできます。
+ AWS Organizations 組織の管理アカウントは、アカウントレベルのイベントデータストアを組織のイベントデータストアに変換したり、組織のイベントデータストアをアカウントレベルのイベントデータストアに変換したりできます。この設定は、 の外部でイベントを収集するイベントデータストアでは使用できません AWS。
+ [Lake クエリフェデレーション](query-federation.md)を有効または無効にできます。イベントデータストアをフェデレーションすると、Amazon Athena からイベントデータをクエリすることができます。
+ イベントデータストアのリソースベースのポリシーを追加または編集して、イベントデータストアへのクロスアカウントアクセスを提供できます。詳細については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。
+ [イベント取り込みを停止](query-eds-stop-ingestion.md)し、管理イベント、データイベント、または AWS Config 設定項目を収集するイベントデータストアでイベント取り込みを再開できます。
+ [終了保護](query-eds-termination-protection.md)を有効または無効にできます。終了保護を有効にすると、イベントデータストアが誤って削除されるのを防ぐことができます。終了保護はデフォルトで有効になっています。
+ 削除保留中のイベントデータストアは[復元](query-eds-restore.md)できます。
+ タグを追加または削除できます。イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加できます。
+ KMS キーを追加することで、イベントデータストアを暗号化できます。イベントデータストアから KMS キーを削除することはできません。
CloudTrail コンソールを使用してイベントデータストアを作成または更新すると、次のような利点があります。
+ データイベントを収集するためにイベントデータストアを設定する場合、CloudTrail コンソールを使用することで、利用できるデータイベントリソースタイプを表示することができます。詳細については、「[データイベントをログ記録する](logging-data-events-with-cloudtrail.md)」を参照してください。
+ ネットワークアクティビティイベントを収集するためにイベントデータストアを設定する場合、CloudTrail コンソールを使用することで、ネットワークアクティビティイベントをログに記録できるイベントソースを表示することができます。詳細については、「[ネットワークアクティビティイベントのログ記録](logging-network-events-with-cloudtrail.md)」を参照してください。
+ 外部でイベントを収集するようにイベントデータストアを設定する場合 AWS、CloudTrail コンソールを使用すると、利用可能なパートナーに関する情報を表示できます。詳細については、「[コンソール AWS を使用して の外部でイベントのイベントデータストアを作成する](event-data-store-integration-events.md)」を参照してください。
**Topics**
+ [コンソールを使用して CloudTrail イベント用にイベントデータストアを作成する](query-event-data-store-cloudtrail.md)
+ [コンソールで Insights イベントのイベントデータストアを作成する](query-event-data-store-insights.md)
+ [コンソールで設定項目用にイベントデータストアを作成する](query-event-data-store-config.md)
+ [コンソール AWS を使用して の外部でイベントのイベントデータストアを作成する](event-data-store-integration-events.md)
+ [コンソールでイベントデータストアを更新する](query-event-data-store-update.md)
+ [コンソールでイベント取り込みを停止および開始する](query-eds-stop-ingestion.md)
+ [コンソールで終了保護を変更する](query-eds-termination-protection.md)
+ [コンソールでイベントデータストアを削除する](query-event-data-store-delete.md)
+ [コンソールでイベントデータストアを復元する](query-eds-restore.md)
+ [CloudTrail Lake Event Data Store から CloudWatch へのデータのエクスポート](cloudtrail-lake-export-cloudwatch.md)
# コンソールを使用して CloudTrail イベント用にイベントデータストアを作成する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
CloudTrail イベントのイベントデータストアには、CloudTrail 管理イベント、データイベント、ネットワークアクティビティイベントを含めることができます。イベントデータをイベントデータストアに保存できる期間は、**[延長可能な 1 年間の保持料金]** オプションを選択した場合は最大 3,653 日 (約 10 年)、**[7 年間の保持料金]** オプションを選択した場合は最大 2,557 日 (約 7 年) です。
CloudTrail Lake のイベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する[料金オプション](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail 料金の詳細については、 ユーザーガイドの「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」および「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
## CloudTrail イベント用にイベントデータストアを作成するには
この手順を使用して、CloudTrail 管理イベント、データイベント、ネットワークアクティビティイベントをログに記録するイベントデータストアを作成します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. **[Create event data store]** (イベントデータストアの作成) をクリックします。
1. **[Configure event data store]** (イベントデータストアの設定) ページの **[General details]** (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。
1. イベントデータストアで使用したい **[料金オプション]** を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」と「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
以下のオプションが利用できます。
+ **[1 年間の延長可能な保持料金]** – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これはデフォルトのオプションです。
+ **デフォルトの保持期間:** 366 日間
+ **最長保持期間:** 3,653 日間
+ **[7 年間の保持料金]** – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
+ **デフォルトの保持期間:** 2,557 日間
+ **最長保持期間:** 2,557 日間
1. イベントデータストアの保存期間を日数単位で指定します。保持期間は、**1 年間の延長可能な保持料金**オプションの場合で 7 日から 3,653 日 (約 10 年)、**7 年間の保持料金**オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。
CloudTrail Lake は、イベントの `eventTime` が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、`eventTime` が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。
**注記**
証跡イベントをこのイベントデータストアにコピーする場合、`eventTime` が指定した保存期間よりも古いと、CloudTrail はイベントをコピーしません。適切な保持期間を決定するには、コピーしたい最も古いイベントからの日数と、そのイベントをイベントデータストアに保持したい日数の合計を計算します (**保存期間** = *最も古いイベントからの日数* \$1 *保持する日数*)。例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
1. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、**「独自の を使用する AWS KMS key**」を選択します。**新規** を選択して AWS KMS key を作成するか、**既存** を選択して既存の KMS キーを使用します。**[Enter KMS alias]** (KMS エイリアスを入力) で、`alias/`*MyAliasName* のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。
独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
**注記**
組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。
1. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、**[Lake クエリフェデレーション]** で **[有効]** を選択します。フェデレーションを使用すると、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「[イベントデータストアのフェデレーション](query-federation.md)」を参照してください。
Lake クエリフェデレーションを有効にするするには、**[有効]** を選択した後に、以下の操作を実行します。
1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが[必要最小限のアクセス許可](query-federation.md#query-federation-permissions-role)を提供していることを確認してください。
1. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。
1. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
1. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、**[リソースポリシーを有効化]** を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。
リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否される[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)と、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。
1. (オプション) **[Tag]** (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「[例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)」を参照してください。でタグを使用する方法の詳細については AWS、[「 AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*ユーザーガイド」の「 AWS リソースのタグ付け*」を参照してください。
1. **[次へ]** を選択して、イベントデータストアを設定します。
1. **[イベントの選択]** ページで **[AWS イベント]** を選択し、次に **[CloudTrail イベント]** を選択します。
1. **[CloudTrail events]** (CloudTrail イベント) で、少なくとも 1 つのイベントタイプを選択します。**[Management events]** (管理イベント) がデフォルトで選択されています。[管理イベント](logging-management-events-with-cloudtrail.md)、[データイベント](logging-data-events-with-cloudtrail.md)、および[ネットワークアクティビティイベント](logging-network-events-with-cloudtrail.md)をイベントデータストアに追加できます。
1. (オプション) 既存のトレイルからイベントをコピーして過去のイベントに関するクエリを実行する場合は、**[Copy trail events]** (トレイルイベントのコピー) を選択します。証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。委任された管理者アカウントは、証跡イベントを組織のイベントデータストアにコピーできません。証跡イベントのコピーに関する考慮事項の詳細については、「[証跡イベントのコピーに関する留意事項](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake)」を参照してください。
1. イベントデータストアが AWS Organizations 内のすべてのアカウントからのイベントを収集するようにするには、**[Enable for all accounts in my organization]** (組織内のすべてのアカウントについて有効化) を選択します。組織に関するイベントを収集するイベントデータストアを作成するには、その組織の管理アカウントまたは委任された管理者アカウントにサインインする必要があります。
**注記**
証跡イベントをコピーしたり Insights イベントを有効にしたりするには、組織の管理アカウントにサインインする必要があります。
1. **追加設定**を展開して、イベントデータストアがすべてのイベントを収集するか AWS リージョン、現在のイベントのみを収集するかを選択し AWS リージョン、イベントデータストアがイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。
1. 現在のリージョンでログ記録されたイベントのみを含めるときは、**[イベントデータストアに現在のリージョンのみを含める]** を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。
1. イベントデータストアでイベントの取り込みを開始したくないときは、**[イベントを取り込む]** の選択を解除します。例えば、証跡イベントをコピーしており、イベントデータストアに未来のイベントを含めたくないときは、**[イベントを取り込む]** の選択を解除するとよいでしょう。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。
1. イベントデータストアに管理イベントが含まれている場合は、次のオプションを選択できます。管理イベントの詳細については、「[管理イベントのログ記録](logging-management-events-with-cloudtrail.md)」を参照してください。
1. **[シンプルなイベント収集]** または **[高度なイベント収集]** を選択します。
+ すべてのイベントをログに記録する場合、読み取りイベントのみをログに記録する場合、または書き込みイベントのみをログに記録する場合は、**[シンプルなイベント収集]** を選択します。 AWS Key Management Service および Amazon RDS Data API イベントを除外することもできます。
+ `eventName`、`eventType`、`eventSource`、`sessionCredentialFromConsole`、`userIdentity.arn` などの高度なイベントセレクターフィールドの値に基づいて管理イベントを含めるか除外する場合は、**[高度なイベント収集]** を選択します。
1. **[シンプルなイベント収集]** を選択した場合、すべてのイベントをログに記録する、読み取りイベントのみをログに記録する、または書き込みイベントのみをログに記録するかを選択します。 AWS KMS および Amazon RDS Data API イベントを除外することもできます。
1. **[高度なイベント収集]** を選択した場合は、次の選択を行います。
1. **[ログセレクタテンプレート]** で、事前定義されたテンプレートを選択するか、**[カスタム]** を選択して、高度なイベントセレクタフィールド値に基づいてカスタム設定を構築します。
次の定義済みテンプレートから選択できます。
+ **[すべてのイベントをログに記録する]** – このテンプレートを選択すると、すべてのイベントを記録します。
+ **[読み取りイベントのみをログに記録する]** – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、`Get*` または `Describe*` イベントなど、リソースの状態を変更しないイベントです。
+ **[書き込みイベントのみをログに記録する]** – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。
+ **ログのみの AWS マネジメントコンソール イベント** – このテンプレートを選択すると、 から発生したイベントのみがログに記録されます AWS マネジメントコンソール。
+ ** AWS のサービス 開始されたイベントを除外**する – このテンプレートを選択すると、 `eventType`の を持つ AWS のサービス イベントと`AwsServiceEvent`、リンクされたロール (SLR) AWS のサービスで開始されたイベントを除外できます。 SLRs
1. (オプション) **[セレクタ名]** に、セレクタを識別する名前を入力します。セレクタ名は、 AWS マネジメントコンソール 「セッションからのログ管理イベント」など、高度なイベントセレクタのわかりやすい名前です。セレクタ名は、拡張イベントセレクタに「`Name`」と表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[カスタム]** を選択した場合、**高度なイベントセレクタ**で、高度なイベントセレクタフィールド値に基づいて式を構築してください。
**注記**
セレクタは、`*` のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、`StartsWith`、`EndsWith`、`NotStartsWith`、または `NotEndsWith` を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。
1. 次のフィールドから選択します。
+ **`readOnly`** - `readOnly` は、**[次と等しい]** として `true` または `false` の値に設定できます。`false` に設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、`Get*` または `Describe*` イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。**読み取り**イベントと**書き込み**イベントの両方を記録するには、`readOnly` セレクタを追加しないでください。
+ **`eventName`** - `eventName` では、任意の演算子を使用できます。これを使用して、`CreateAccessPoint` や `GetAccessPoint` などの管理イベントを含めたり除外したりします。
+ **`userIdentity.arn`** – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。
+ **`sessionCredentialFromConsole`** – AWS マネジメントコンソール セッションから発生するイベントを含めるか除外します。このフィールドは、`true` の値で **[次と等しい]** または **[次と等しくない]** に設定できます。
+ **`eventSource`** – これを使用して、特定のイベントソースを含めたり除外したりできます。`eventSource` は通常、スペースなしのサービス名の短縮形に `.amazonaws.com` を付けたものです。例えば、`eventSource` **[次と等しい]** を `ec2.amazonaws.com` に設定して、Amazon EC2 管理イベントのみをログに記録できます。
+ **`eventType`** – 含めるまたは除外する[イベントタイプ](cloudtrail-event-reference-record-contents.md#ct-event-type)。例えば、このフィールドを **[次と等しくない]** `AwsServiceEvent` に設定して、[AWS のサービス イベント](non-api-aws-service-events.md)を除外できます。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
CloudTrail が複数の条件を評価する方法については、「[CloudTrail がフィールドの複数の条件を評価する方法](filtering-data-events.md#filtering-data-events-conditions)」を参照してください。
**注記**
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、`eventName` などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
1. **[Insights イベントキャプチャを有効にする]** を選択して、Insights を有効にします。Insights を有効にするには、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集する[送信先イベントデータストア](query-event-data-store-insights.md#query-event-data-store-insights-procedure)を設定する必要があります。
Insights を有効にすることを選択した場合は、次の手順を実行します。
1. Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「[Insights イベントをログに記録する送信先イベントデータストアを作成するには](query-event-data-store-insights.md#query-event-data-store-insights-procedure)」を参照してください。
1. Insights タイプを選択します。**[API コールレート]**、**[API エラー率]** のいずれかまたは両方を選択できます。**[API コール率]** の Insights イベントをログに記録するには、**[Write]** 管理イベントをログ記録している必要があります。**[API エラー率]** の Insights イベントをログに記録するには、**[Read]** または **[Write]** 管理イベントをログ記録している必要があります。
1. イベントデータストアにデータイベントを含めるには、次の手順を実行します。
1. リソースタイプを選択します。これは、データイベントがログに記録される AWS のサービス および リソースです。
1. **[ログセレクタテンプレート]** で、事前定義されたテンプレートを選択するか、**[カスタム]** を選択して、高度なイベントセレクタフィールドの値に基づいて独自のイベント収集条件を定義します。
次の定義済みテンプレートから選択できます。
+ **[すべてのイベントをログに記録する]** – このテンプレートを選択すると、すべてのイベントを記録します。
+ **[読み取りイベントのみをログに記録する]** – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、`Get*` または `Describe*` イベントなど、リソースの状態を変更しないイベントです。
+ **[書き込みイベントのみをログに記録する]** – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。
+ ** AWS マネジメントコンソール イベントのみをログに記録する** – このテンプレートを選択すると、 から発生したイベントのみをログに記録します AWS マネジメントコンソール。
+ ** AWS のサービス 開始されたイベントを除外**する – このテンプレートを選択すると、 `eventType`の を持つ AWS のサービス イベントと`AwsServiceEvent`、リンクされたロール (SLR) AWS のサービスで開始されたイベントを除外できます。 SLRs
1. (オプション) **[セレクタ名]** に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「`Name`」と表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[カスタム]** を選択した場合、**[高度なイベントセレクタ]** で高度なイベントセレクタフィールドの値に基づいて式を構築します。
**注記**
セレクタは、`*` のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、`StartsWith`、`EndsWith`、`NotStartsWith`、または `NotEndsWith` を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。
1. 次のフィールドから選択します。
+ **`readOnly`** – `readOnly` は、`true` または `false` の値と **[等しい]** になるように設定できます。読み取り専用データイベントは、`Get*` または `Describe*` イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。`read` および `write` イベントの両方を記録するには、`readOnly` セレクタを追加しないでください。
+ **`eventName`** - `eventName` は任意の演算子を使用できます。これを使用して、CloudTrail に記録されるデータイベント (`PutBucket`、`GetItem`、または `GetSnapshotBlock`) を含めるまたは除外します。
+ **`eventSource`** – 含めるまたは除外するイベントソース。このフィールドは任意の演算子を使用できます。
+ **[eventType]** – 含めるまたは除外するイベントタイプ。例えば、このフィールドを **[次と等しくない]** `AwsServiceEvent` に設定して、[AWS のサービス イベント](non-api-aws-service-events.md) を除外できます。イベントタイプのリストについては、[管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ](cloudtrail-event-reference-record-contents.md) の「[`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)」を参照してください。
+ **sessionCredentialFromConsole** – AWS マネジメントコンソール セッションから発生するイベントを含めるか除外します。このフィールドは、`true` の値で **[次と等しい]** または **[次と等しくない]** に設定できます。
+ **[userIdentity.arn]** – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。
+ **`resources.ARN`** – `resources.ARN` には任意の演算子を使用することができますが、**[指定の値に等しい]** または **[指定の値に等しくない]** を使用する場合、値は、テンプレートで `resources.type` の値として指定したタイプの有効なリソースの ARN と正確に一致する必要があります。
**注記**
`resources.ARN` フィールドを使用して ARN を持たないリソースタイプをフィルタリングすることはできません。
データイベントリソースの ARN 形式の詳細については、「*サービス認可リファレンス*」の「[AWS のサービスのアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、イベントデータストアに記録されているデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを **[resources.ARN]** に、演算子を **[指定の値で始まらない]** に設定し、イベントをログに記録しない S3 バケット ARN に貼り付けます。
2 番目の S3 バケットを追加するには、**[条件の追加]** を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。
CloudTrail が複数の条件を評価する方法については、「[CloudTrail がフィールドの複数の条件を評価する方法](filtering-data-events.md#filtering-data-events-conditions)」を参照してください。
**注記**
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、`eventName` などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。
1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
1. データイベントをログに記録する別のリソースタイプを追加するには、[**データイベントタイプの追加**] を選択します。ステップ a からこのステップまでを繰り返し、リソースタイプの高度なセレクタを設定します。
1. イベントデータストアにネットワークアクティビティイベントを含めるには、次の手順を実行します。
1. **[ネットワークアクティビティイベントソース]** から、ネットワークアクティビティイベントのソースを選択します。
1. **[Log selector template]** (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、**[カスタム]** を選択してカスタムログセレクタを構築し、`eventName` や `vpcEndpointId` などの複数のフィールドでフィルタリングすることができます。
1. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに**[名前]** として表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[高度なイベントセレクタ]** で、**[フィールド]**、**[演算子]**、**[値]** の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。
+ **`eventName`** – `eventName` では任意の演算子を使用できます。これを使用して、`CreateKey` などの任意のイベントを含めるか除外することができます。
+ **`errorCode`** – エラーコードをフィルタリングするために使用できます。現在サポートされている `errorCode` は、`VpceAccessDenied` のみです。
+ **`vpcEndpointId`** – オペレーションが通過した VPC エンドポイントを識別します。`vpcEndpointId` では任意の演算子を使用できます。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
1. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、**[ネットワークアクティビティイベントセレクタの追加]** を選択します。
1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
1. イベントデータストアに既存の証跡イベントをコピーするには、次を実行します。
1. コピーするトレイルを選択します。デフォルトでは、CloudTrail は S3 バケットの`CloudTrail`プレフィックスとプレフィックス内の`CloudTrail`プレフィックスに含まれる CloudTrail イベントのみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、**[Enter S3 URI]** (S3 URI を入力)、**[Browse S3]** (S3 を閲覧) の順に選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、CloudTrail によるデータの復号を KMS キーポリシーが許可するようにしてください。ソース S3 バケットが複数の KMS キーを使用する場合、各キーのポリシーを更新して、CloudTrail によるバケット内のデータの復号を許可する必要があります。KMS キーポリシーの更新の詳細については、「[ソース S3 バケット内のデータを復号化するための KMS キーポリシー](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)」を参照してください。
1. イベントをコピーする時間範囲を選択します。CloudTrail は、証跡イベントのコピーを試みる前に、プレフィックスとログファイル名をチェックして、選択した開始日と終了日の間の日付が名前に含まれていることを確認します。**[Relative range]** (相対範囲) または**[Absolute range]** (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。
**注記**
CloudTrail は、イベントデータストアの保持期間内の証跡イベントのうち、`eventTime` を持つもののみをコピーします。たとえば、イベントデータストアの保持期間が 90 日の場合、CloudTrail は `eventTime` が 90 日前よりも古い証跡イベントをコピーしません。
+ **[相対範囲]** を選択した場合、過去 6 か月、1 年、2 年、7 年またはカスタム範囲でログに記録されたイベントをコピーすることを選択できます。CloudTrail は、選択した期間内に記録されたイベントをコピーします。
+ **[Absolute range]** (絶対範囲) を選択した場合、特定の開始日と終了日を選択できます。CloudTrail は、選択した開始日と終了日の間に発生したイベントをコピーします。
1. **[Permissions]** (アクセス許可) については、以下の IAM ロールのオプションから選択します。既存の IAM ロールを選択する場合は、IAM ロールポリシーが必要なアクセス許可を提供していることを確認してください。IAM ロールの許可の更新の詳細については、「[証跡イベントをコピーするための IAM 許可](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)」を参照してください。
+ **[Create a new role (recommended)]** (新しいロールの作成 (推奨)) を選択して、新しい IAM ロールを作成します。**[Enter IAM role name]** (IAM ロール名を入力してください) に、ロールの名前を入力します。CloudTrail は、この新しいロールに必要なアクセス許可を自動的に作成します。
+ リストにないカスタム IAM ロールを使用するには、**[カスタム IAM ロール ARN を使用する]** を選択してください。**[Enter IAM role ARN]** (IAM ロールの ARN を入力) で、IAM ARN を入力します。
+ ドロップダウンリストから既存の IAM ロールを選択します。
1. **[次へ]** を選択し、リソースタグキーと IAM グローバル条件キーを追加して、イベントを強化します。
1. **[イベントを強化する]** で、最大 50 個のリソースタグキーと 50 個の IAM グローバル条件キーを追加して、イベントに関する追加のメタデータを提供します。これにより、関連するイベントを分類して整理できます。
リソースタグキーを追加すると、CloudTrail には API コールに関係したリソースに関連する選択したタグキーが含まれます。削除されたリソースに関連する API イベントにはリソースタグはありません。
IAM グローバル条件キーを追加すると、CloudTrail には、プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加情報など、承認プロセス中に評価された選択した条件キーに関する情報が含まれます。
リソースタグキーと IAM グローバル条件キーに関する情報は、イベントの `eventContext` フィールドに表示されます。詳細については、「[リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する](cloudtrail-context-events.md)」を参照してください。
**注記**
イベントにイベントリージョンに属さないリソースが含まれている場合、タグの取得はイベントリージョンに制限されているため、CloudTrail はこのリソースのタグを入力しません。
1. **[イベントサイズの拡張]** を選択して、イベントペイロードを 256 KB から最大 1 MB まで拡張します。このオプションは、追加したすべてのキーがイベントに含まれるようにリソースタグキーまたは IAM グローバル条件キーを追加すると、自動的に有効になります。
イベントサイズを拡大すると、イベントペイロードが 1 MB 未満であれば、次のフィールドの完全なコンテンツを表示できるため、イベントの分析やトラブルシューティングに役立ちます。
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
これらのフィールドの詳細については、「[CloudTrail レコードの内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)」を参照してください。
1. **[Next]** (次へ) を選択して、選択内容を確認します。
1. **[Review and create]** (確認と作成) ページで、選択内容を確認します。セクションを変更するには、**[Edit]** (編集) をクリックします。イベントデータストアを作成する準備が整ったら、**[Create event data store]** (イベントデータストアの作成) をクリックします。
1. 新しいイベントデータストアが、**[イベントデータストア]** ページの **[イベントデータストア]** テーブルに表示されます。
これ以降、イベントデータストアは、高度なイベントセレクタに一致するイベントをキャプチャします (**[イベントを取り込む]** オプションを選択したままにしている場合)。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントをコピーすることを選択しない限り、イベントデータストアには保存されません。
これで、新しいイベントデータストアに対してクエリを実行できるようになりました。**[Sample queries]** (サンプルクエリ) タブは、使用を開始するためのサンプルクエリを提供します。クエリの作成と編集の詳細については、「[CloudTrail コンソールを使用してトレイルを編集する](query-create-edit-query.md)」を参照してください。
[マネージドダッシュボード](lake-dashboard-managed.md)を表示したり、[カスタムダッシュボードを作成](lake-dashboard-custom.md)して、イベントのトレンドを視覚化したりすることもできます。Lake ダッシュボードの詳細については、「[CloudTrail Lake ダッシュボード](lake-dashboard.md)」を参照してください。
# コンソールで Insights イベントのイベントデータストアを作成する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
AWS CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、API コールレートと API エラーレートに関連する異常なアクティビティ AWS を特定して応答するのに役立ちます。CloudTrail Insights は、*ベースライン*とも呼ばれる API コール率と API エラー率の通常のパターンを分析し、コール量やエラー率が通常のパターンから外れた場合に Insights イベントを生成します。API コール率に関する Insights イベントは、`write` 管理 API に対して生成されます。一方、API エラー率に関する Insights イベントは、`read` と `write` の両方の管理 API に対して生成されます。
CloudTrail Lake で Insights イベントを記録するには、Insights イベントをログ記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログ記録するソースイベントデータストアが必要です。
**注記**
API コール率に関する Insights イベントをログに記録するには、ソースイベントデータストアで `write` 管理イベントがログに記録される必要があります。API エラー率に関する Insights イベントをログに記録するには、ソースイベントデータストアで `read` または `write` の管理イベントがログに記録されている必要があります。
ソースイベントデータストアで CloudTrail Insights を有効にしており、CloudTrail が異常なアクティビティを検出した場合、CloudTrail は送信先イベントデータストアに Insights イベントを配信します。CloudTrail イベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、アカウントの通常の使用パターンと大きく異なるアカウントの API 使用状況の変化を CloudTrail が検出した場合にだけログに記録されます。
イベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。
CloudTrail Insights は、イベントデータストアの各リージョンで発生する管理イベントを分析し、ベースラインから逸脱する異常なアクティビティが検出されると Insights イベントを生成します。CloudTrail Insights イベントは、それをサポートする管理イベントが生成されるのと同じリージョンに生成されます。
組織イベントデータストアの場合、CloudTrail Insights は、各リージョンごとに組織内の各メンバーアカウントからの管理イベントを分析し、アカウントとリージョンのベースラインから逸脱する異常なアクティビティが検出されると Insights イベントを生成します。
CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡と CloudTrail Lake イベントデータストアの両方で Insights を有効にすると、別々に課金されます。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
**Topics**
+ [Insights イベントをログに記録する送信先イベントデータストアを作成するには](#query-event-data-store-insights-procedure)
+ [Insights イベントを有効にするソースイベントデータストアを作成するには](#query-event-data-store-cloudtrail-insights)
## Insights イベントをログに記録する送信先イベントデータストアを作成するには
Insights イベントデータストアを作成する場合、管理イベントをログに記録する既存のソースイベントデータストアを選択し、受信する Insights タイプを指定することができます。または、Insights イベントデータストアを作成した後に、新規または既存のイベントデータストアで Insights を有効にし、そのイベントデータストアを送信先イベントデータストアとして選択することもできます。
この手順は、Insights イベントをログに記録する送信先イベントデータストアを作成する方法を示しています。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインから **[Lake]** サブメニューを開き、**[Event data stores]** (イベントデータストア) を選択します。
1. **[Create event data store]** (イベントデータストアの作成) をクリックします。
1. **[Configure event data store]** (イベントデータストアの設定) ページの **[General details]** (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。
1. イベントデータストアで使用したい **[料金オプション]** を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」と「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
以下のオプションが利用できます。
+ **[1 年間の延長可能な保持料金]** – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これはデフォルトのオプションです。
+ **デフォルトの保持期間:** 366 日間
+ **最長保持期間:** 3,653 日間
+ **[7 年間の保持料金]** – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
+ **デフォルトの保持期間:** 2,557 日間
+ **最長保持期間:** 2,557 日間
1. イベントデータストアの保存期間を日数単位で指定します。保持期間は、**1 年間の延長可能な保持料金**オプションの場合で 7 日から 3,653 日 (約 10 年)、**7 年間の保持料金**オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。イベントデータストアは指定された日数分、イベントデータを保存します。
1. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、**「独自の を使用する AWS KMS key**」を選択します。**新規** を選択して AWS KMS key を作成するか、**既存** を選択して既存の KMS キーを使用します。**[Enter KMS alias]** (KMS エイリアスを入力) で、`alias/`*MyAliasName* のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。
独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
**注記**
組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。
1. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、**[Lake クエリフェデレーション]** で **[有効]** を選択します。フェデレーションを使用すると、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「[イベントデータストアのフェデレーション](query-federation.md)」を参照してください。
Lake クエリフェデレーションを有効にするするには、**[有効]** を選択した後に、以下の操作を実行します。
1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが[必要最小限のアクセス許可](query-federation.md#query-federation-permissions-role)を提供していることを確認してください。
1. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。
1. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
1. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、**[リソースポリシーを有効化]** を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。
リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否される[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)と、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。
1. (オプション) **[Tag]** (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「[例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)」を参照してください。でタグを使用する方法の詳細については AWS、[「 AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*ユーザーガイド」の「 AWS リソースのタグ付け*」を参照してください。
1. **[次へ]** を選択して、イベントデータストアを設定します。
1. **[イベントの選択]** ページで **[AWS イベント]** を選択し、次に **[CloudTrail Insights イベント]** を選択します。
1. **[CloudTrail Insights イベント]** で、次の手順を実行します。
1. 組織の委任された管理者にこのイベントデータストアへのアクセス権を付与する場合は、**[委任された管理者アクセスを許可]** を選択します。このオプションは、 AWS Organizations 組織の管理アカウントでサインインしている場合にのみ使用できます。
1. (オプション) 管理イベントをログに記録する既存のソースイベントデータストアを選択し、受信したい Insights タイプを指定します。
ソースイベントデータストアを追加するには、次の手順を実行します。
1. **[ソースイベントデータストアを追加]** を選択します。
1. ソースイベントデータストアを選択します。
1. 受信したい **[Insights タイプ]** を選択します。
+ `ApiCallRateInsight` – Insight タイプ `ApiCallRateInsight` は、ベースライン API コール量に対して 1 分ごとに集計された書き込み専用の管理 API コールを分析します。`ApiCallRateInsight` で Insights を受信するには、ソースイベントデータストアが **[書き込み]** 管理イベントをログに記録する必要があります。
+ `ApiErrorRateInsight` – Insight タイプ `ApiErrorRateInsight` は、エラーコードを発生させた管理 API コールを分析します。API 呼び出しに失敗すると、エラーが表示されます。`ApiErrorRateInsight` で Insights を受信するには、ソースイベントデータストアが **[書き込み]** または **[読み取り]** の管理イベントをログに記録する必要があります。
1. 受信したい Insights タイプを追加するには、前の 2 つのステップ (ii と iii) を繰り返します。
1. **[Next]** (次へ) を選択して、選択内容を確認します。
1. **[Review and create]** (確認と作成) ページで、選択内容を確認します。セクションを変更するには、**[Edit]** (編集) をクリックします。イベントデータストアを作成する準備が整ったら、**[Create event data store]** (イベントデータストアの作成) をクリックします。
1. 新しいイベントデータストアが、**[イベントデータストア]** ページの **[イベントデータストア]** テーブルに表示されます。
1. ステップ 10 でソースイベントデータストアを選択しなかった場合は、[Insights イベントを有効にするソースイベントデータストアを作成するには](#query-event-data-store-cloudtrail-insights) の手順に従ってソースイベントデータストアを作成します。
## Insights イベントを有効にするソースイベントデータストアを作成するには
この手順は、Insights イベントを有効にするソースイベントデータストアを作成して管理イベントをログに記録する方法を示しています。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインから **[Lake]** サブメニューを開き、**[Event data stores]** (イベントデータストア) を選択します。
1. **[Create event data store]** (イベントデータストアの作成) をクリックします。
1. **[Configure event data store]** (イベントデータストアの設定) ページの **[General details]** (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。
1. イベントデータストアで使用したい **[料金オプション]** を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」と「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
以下のオプションが利用できます。
+ **[1 年間の延長可能な保持料金]** – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これはデフォルトのオプションです。
+ **デフォルトの保持期間:** 366 日間
+ **最長保持期間:** 3,653 日間
+ **[7 年間の保持料金]** – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
+ **デフォルトの保持期間:** 2,557 日間
+ **最長保持期間:** 2,557 日間
1. イベントデータストアの保存期間を日数単位で指定します。保持期間は、**1 年間の延長可能な保持料金**オプションの場合で 7 日から 3,653 日 (約 10 年)、**7 年間の保持料金**オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。
CloudTrail Lake は、イベントの `eventTime` が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、`eventTime` が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。
1. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、**「独自の を使用する AWS KMS key**」を選択します。**新規** を選択して AWS KMS key を作成するか、**既存** を選択して既存の KMS キーを使用します。**[Enter KMS alias]** (KMS エイリアスを入力) で、`alias/`*MyAliasName* のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。
独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
**注記**
組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。
1. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、**[Lake クエリフェデレーション]** で **[有効]** を選択します。フェデレーションを使用すると、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「[イベントデータストアのフェデレーション](query-federation.md)」を参照してください。
Lake クエリフェデレーションを有効にするするには、**[有効]** を選択した後に、以下の操作を実行します。
1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが[必要最小限のアクセス許可](query-federation.md#query-federation-permissions-role)を提供していることを確認してください。
1. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。
1. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
1. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、**[リソースポリシーを有効化]** を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。
リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否される[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)と、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。
1. (オプション) **[Tag]** (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「[例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)」を参照してください。でタグを使用する方法の詳細については AWS、[「 AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*ユーザーガイド」の「 AWS リソースのタグ付け*」を参照してください。
1. **[次へ]** を選択して、イベントデータストアを設定します。
1. **[イベントの選択]** ページで **[AWS イベント]** を選択し、次に **[CloudTrail イベント]** を選択します。
1. **[CloudTrail イベント]** では、**[管理イベント]** を選択したままにします。
1. イベントデータストアが AWS Organizations 内のすべてのアカウントからのイベントを収集するようにするには、**[Enable for all accounts in my organization]** (組織内のすべてのアカウントについて有効化) を選択します。Insights を有効にするイベントデータストアを作成するには、その組織の管理アカウントにサインインする必要があります。
1. **追加設定**を展開して、イベントデータストアがすべてのイベントを収集するか AWS リージョン、現在のイベントのみを収集するかを選択し AWS リージョン、イベントデータストアがイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。
1. 現在のリージョンでログに記録されたイベントのみを含める場合は、**[イベントデータストアに現在のリージョンのみを含める]** を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。
1. **[イベントを取り込む]** は選択したままにします。
1. **[シンプルなイベント収集]** または **[高度なイベント収集]** を選択します。
+ すべてのイベントをログに記録する場合、読み取りイベントのみをログに記録する場合、または書き込みイベントのみをログに記録する場合は、**[シンプルなイベント収集]** を選択します。 AWS Key Management Service および Amazon RDS Data API イベントを除外することもできます。
+ `eventName`、`eventType`、`eventSource`、`sessionCredentialFromConsole`、`userIdentity.arn` などの高度なイベントセレクターフィールドの値に基づいて管理イベントを含めるか除外する場合は、**[高度なイベント収集]** を選択します。
1. **[シンプルなイベント収集]** を選択した場合、すべてのイベントをログに記録する、読み取りイベントのみをログに記録する、または書き込みイベントのみをログに記録するかを選択します。 AWS KMS および Amazon RDS Data API イベントを除外することもできます。
1. **[高度なイベント収集]** を選択した場合は、次の選択を行います。
1. **[ログセレクタテンプレート]** で、事前定義されたテンプレートを選択するか、**[カスタム]** を選択して、高度なイベントセレクタフィールドの値に基づいて独自のイベント収集条件を書き込みます。
次の定義済みテンプレートから選択できます。
+ **[すべてのイベントをログに記録する]** – このテンプレートを選択すると、すべてのイベントを記録します。
+ **[読み取りイベントのみをログに記録する]** – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、`Get*` または `Describe*` イベントなど、リソースの状態を変更しないイベントです。
+ **[書き込みイベントのみをログに記録する]** – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。
+ ** AWS マネジメントコンソール イベントのみをログに記録する** – このテンプレートを選択すると、 から発生したイベントのみをログに記録します AWS マネジメントコンソール。
+ ** AWS のサービス 開始されたイベントを除外**する – このテンプレートを選択すると、 `eventType`の を持つ AWS のサービス イベントと`AwsServiceEvent`、リンクされたロール (SLR) AWS のサービスで開始されたイベントを除外できます。 SLRs
1. (オプション) **[セレクタ名]** に、セレクタを識別する名前を入力します。セレクタ名は、 AWS マネジメントコンソール 「セッションからのログ管理イベント」など、高度なイベントセレクタのわかりやすい名前です。セレクタ名は、拡張イベントセレクタに「`Name`」と表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[カスタム]** を選択した場合、**高度なイベントセレクタ**で、高度なイベントセレクタフィールド値に基づいて式を構築してください。
**注記**
セレクタは、`*` のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、`StartsWith`、`EndsWith`、`NotStartsWith`、または `NotEndsWith` を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。
1. 次のフィールドから選択します。
+ **`readOnly`** - `readOnly` は、**[次と等しい]** として `true` または `false` の値に設定できます。`false` に設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、`Get*` または `Describe*` イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。**読み取り**イベントと**書き込み**イベントの両方を記録するには、`readOnly` セレクタを追加しないでください。
+ **`eventName`** - `eventName` では、任意の演算子を使用できます。これを使用して、`CreateAccessPoint` や `GetAccessPoint` などの管理イベントを含めたり除外したりします。
+ **`userIdentity.arn`** – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。
+ **`sessionCredentialFromConsole`** – AWS マネジメントコンソール セッションから発生するイベントを含めるか除外します。このフィールドは、`true` の値で **[次と等しい]** または **[次と等しくない]** に設定できます。
+ **`eventSource`** – これを使用して、特定のイベントソースを含めたり除外したりできます。`eventSource` は通常、スペースなしのサービス名の短縮形に `.amazonaws.com` を付けたものです。例えば、`eventSource` **[次と等しい]** を `ec2.amazonaws.com` に設定して、Amazon EC2 管理イベントのみをログに記録できます。
+ **`eventType`** – 含めるまたは除外する[イベントタイプ](cloudtrail-event-reference-record-contents.md#ct-event-type)。例えば、このフィールドを **[次と等しくない]** `AwsServiceEvent` に設定して、[AWS のサービス イベント](non-api-aws-service-events.md)を除外できます。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
CloudTrail が複数の条件を評価する方法については、「[CloudTrail がフィールドの複数の条件を評価する方法](filtering-data-events.md#filtering-data-events-conditions)」を参照してください。
**注記**
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、`eventName` などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
1. **Insights イベントキャプチャを有効にする** を選択します。
1. Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「[Insights イベントをログに記録する送信先イベントデータストアを作成するには](#query-event-data-store-insights-procedure)」を参照してください。
1. Insights タイプを選択します。**[API コールレート]**、**[API エラー率]** のいずれかまたは両方を選択できます。**[API コール率]** の Insights イベントをログに記録するには、**[Write]** 管理イベントをログ記録している必要があります。**[API エラー率]** の Insights イベントをログに記録するには、**[Read]** または **[Write]** 管理イベントをログ記録している必要があります。
1. **[次へ]** を選択し、リソースタグキーと IAM グローバル条件キーを追加して、イベントを強化します。
1. **[イベントを強化する]** で、最大 50 個のリソースタグキーと 50 個の IAM グローバル条件キーを追加して、イベントに関する追加のメタデータを提供します。これにより、関連するイベントを分類して整理できます。
リソースタグキーを追加すると、CloudTrail には API コールに関係したリソースに関連する選択したタグキーが含まれます。削除されたリソースに関連する API イベントにはリソースタグはありません。
IAM グローバル条件キーを追加すると、CloudTrail には、プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加情報など、承認プロセス中に評価された選択した条件キーに関する情報が含まれます。
リソースタグキーと IAM グローバル条件キーに関する情報は、イベントの `eventContext` フィールドに表示されます。詳細については、「[リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する](cloudtrail-context-events.md)」を参照してください。
**注記**
イベントにイベントリージョンに属さないリソースが含まれている場合、タグの取得はイベントリージョンに制限されているため、CloudTrail はこのリソースのタグを入力しません。
1. **[イベントサイズの拡張]** を選択して、イベントペイロードを 256 KB から最大 1 MB まで拡張します。このオプションは、追加したすべてのキーがイベントに含まれるようにリソースタグキーまたは IAM グローバル条件キーを追加すると、自動的に有効になります。
イベントサイズを拡大すると、イベントペイロードが 1 MB 未満であれば、次のフィールドの完全なコンテンツを表示できるため、イベントの分析やトラブルシューティングに役立ちます。
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
これらのフィールドの詳細については、「[CloudTrail レコードの内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)」を参照してください。
1. **[Next]** (次へ) を選択して、選択内容を確認します。
1. **[Review and create]** (確認と作成) ページで、選択内容を確認します。セクションを変更するには、**[Edit]** (編集) をクリックします。イベントデータストアを作成する準備が整ったら、**[Create event data store]** (イベントデータストアの作成) をクリックします。
1. 新しいイベントデータストアが、**[イベントデータストア]** ページの **[イベントデータストア]** テーブルに表示されます。
イベントデータストアは、この時点以降の高度なイベントセレクタに一致するイベントを取得します。ソースイベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。
送信先イベントデータストアの Insights イベントを可視化するために、CloudTrail Lake ダッシュボードを表示することができます。Lake ダッシュボードの詳細については、「[CloudTrail Lake ダッシュボード](lake-dashboard.md)」を参照してください。
CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
# コンソールで設定項目用にイベントデータストアを作成する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
[AWS Config 設定項目](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items)を含めるイベントデータストアを作成し、そのイベントデータストアを使用して、本番環境に対する非準拠の変更を調査できます。イベントデータストアを使用すると、準拠していないルールが、その変更に関連付けられているユーザーおよびリソースと関連するようにできます。設定項目は、アカウントに存在するサポートされている AWS リソースの属性のpoint-in-timeビューを表します。 は、記録するリソースタイプへの変更を検出するたびに設定項目 AWS Config を作成します。 は、設定スナップショットがキャプチャされたときに設定項目 AWS Config も作成します。
AWS Config と CloudTrail Lake の両方を使用して、設定項目に対してクエリを実行できます。を使用して AWS Config 、単一の AWS アカウント および の設定プロパティに基づいて AWS リージョン、または複数のアカウントとリージョンにわたって、 AWS リソースの現在の設定状態をクエリできます。対照的に、CloudTrail Lake を使用すると、CloudTrail イベント、設定項目、ルール評価など、さまざまなデータソースでクエリを実行できます。CloudTrail Lake クエリは、リソース AWS Config 設定やコンプライアンス履歴など、すべての設定項目を対象としています。
設定項目のイベントデータストアを作成しても、既存の AWS Config 高度なクエリや設定済みの AWS Config アグリゲータには影響しません。を使用して高度なクエリを引き続き実行し AWS Config、履歴ファイルを S3 バケットに AWS Config 配信し続けることができます。
CloudTrail Lake のイベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する[料金オプション](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail 料金の詳細については、 ユーザーガイドの「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」および「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
## 制限事項
設定項目のイベントデータストアには、次の制限が適用されます。
+ カスタム設定項目のためのサポートはありません
+ 高度なイベントセレクタを使用したイベントフィルタリングのためのサポートはありません
## 前提条件
イベントデータストアを作成する前に、すべてのアカウントとリージョン AWS Config の記録を設定します。の一機能である[高速セットアップ](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)を使用して AWS Systems Manager、 を使用する設定レコーダーをすばやく作成できます AWS Config。
**注記**
が設定の記録 AWS Config を開始すると、サービス使用料が課金されます。料金の詳細については、「[AWS Config 料金表](https://aws.amazon.com/config/pricing/)」を参照してください。設定レコーダーの管理については、「*AWS Config デベロッパーガイド*]の「[設定レコーダーの管理](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。
また、次のアクションも推奨されますが、イベントデータストアの作成には必須ではありません。
+ 設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。スナップショットの詳細については、「*AWS Config デベロッパーガイド*」の「[配信チャネルの管理](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)」と「[Amazon S3 バケットへの設定スナップショットの配信](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)」を参照してください。
+ 記録されたリソースタイプのコンプライアンス情報を評価 AWS Config するために使用するルールを指定します。の CloudTrail Lake サンプルクエリのいくつか AWS Config ルール では、 AWS リソースのコンプライアンス状態を評価する AWS Config 必要があります。詳細については AWS Config ルール、 *AWS Config デベロッパーガイド*の[「 を使用したリソースの評価 AWS Config ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)」を参照してください。
## 設定項目用に一意のイベントデータストアを作成するには
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. **[Create event data store]** (イベントデータストアの作成) をクリックします。
1. **[Configure event data store]** (イベントデータストアの設定) ページの **[General details]** (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。
1. イベントデータストアで使用したい **[料金オプション]** を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」と「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
以下のオプションが利用できます。
+ **[1 年間の延長可能な保持料金]** – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これはデフォルトのオプションです。
+ **デフォルトの保持期間:** 366 日間
+ **最長保持期間:** 3,653 日間
+ **[7 年間の保持料金]** – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
+ **デフォルトの保持期間:** 2,557 日間
+ **最長保持期間:** 2,557 日間
1. イベントデータストアの保存期間を日数単位で指定します。保持期間は、**1 年間の延長可能な保持料金**オプションの場合で 7 日から 3,653 日 (約 10 年)、**7 年間の保持料金**オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。
CloudTrail Lake は、イベントの `eventTime` が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、`eventTime` が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。
1. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、**「独自の を使用する AWS KMS key**」を選択します。**新規** を選択して AWS KMS key を作成するか、**既存** を選択して既存の KMS キーを使用します。**[Enter KMS alias]** (KMS エイリアスを入力) で、`alias/`*MyAliasName* のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。
独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
**注記**
組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。
1. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、**[Lake クエリフェデレーション]** で **[有効]** を選択します。フェデレーションを使用すると、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「[イベントデータストアのフェデレーション](query-federation.md)」を参照してください。
Lake クエリフェデレーションを有効にするするには、**[有効]** を選択した後に、以下の操作を実行します。
1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが[必要最小限のアクセス許可](query-federation.md#query-federation-permissions-role)を提供していることを確認してください。
1. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。
1. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
1. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、**[リソースポリシーを有効化]** を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。
リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否される[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)と、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。
1. (オプション) **[Tag]** (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「[例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)」を参照してください。でタグを使用する方法の詳細については AWS、[「 AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*ユーザーガイド」の AWS 「リソースのタグ付け*」を参照してください。
1. [**次へ**] を選択します。
1. **[イベントの選択]** ページで、**[AWS イベント]** を選択し、次に **[設定項目]** を選択します。
1. CloudTrail は、イベントデータストアリソースをそれが作成されたリージョンに保存しますが、デフォルトでは、データストアで収集される設定項目は、記録が有効になっているアカウント内のすべてのリージョンからのものです。必要に応じて、**[Include only the current region in my event data store]** (現在のリージョンのみをイベントデータストアに含める) を選択して、現在のリージョンでキャプチャされた設定項目のみを含めることができます。このオプションを選択しない場合、イベントデータストアには、記録が有効になっているすべてのリージョンからの設定項目が含まれます。
1. イベントデータストアが AWS Organizations 組織内のすべてのアカウントから設定項目を収集できるようにするには、**組織内のすべてのアカウントに対して有効化**を選択します。組織の設定項目を収集するイベントデータストアを作成するには、組織の管理アカウントまたは委任された管理者アカウントにサインインする必要があります。
1. **[Next]** (次へ) を選択して、選択内容を確認します。
1. **[Review and create]** (確認と作成) ページで、選択内容を確認します。セクションを変更するには、**[Edit]** (編集) をクリックします。イベントデータストアを作成する準備が整ったら、**[Create event data store]** (イベントデータストアの作成) をクリックします。
1. 新しいイベントデータストアが、**[イベントデータストア]** ページの **[イベントデータストア]** テーブルに表示されます。
この時点以降、イベントデータストアは設定項目を取得します。イベントデータストアを作成する前に発生した設定項目は、イベントデータストア内にありません。
## 設定項目のスキーマ
次の表は、設定項目レコードのスキーマ要素と一致する必須およびオプションのスキーマ要素を示しています。`eventData` の内容は設定項目によって提供されます。他のフィールドは、取り込み後に CloudTrail によって提供されます。
CloudTrail イベントレコードの内容については、「[管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ](cloudtrail-event-reference-record-contents.md)」で詳しく説明します。
+ [取り込み後に CloudTrail によって提供されるフィールド](#fields-cloudtrail-event)
+ [イベントによって提供されるフィールド](#fields-config)
**取り込み後に CloudTrail によって提供されるフィールド**
| フィールド名 | 入力タイプ | 要件 | 説明 |
| --- | --- | --- | --- |
| eventVersion | string | 必須 | AWS イベント形式のバージョン。 |
| eventCategory | string | 必須 | イベントカテゴリ。設定項目では、有効な値は `ConfigurationItem` です。 |
| eventType | string | 必須 | イベントタイプです。設定項目では、有効な値は `AwsConfigurationItem` です。 |
| eventID | string | 必須 | イベントの一意の ID。 |
| eventTime | string | 必須 | イベントタイムスタンプ (`yyyy-MM-DDTHH:mm:ss` 形式、協定世界時 (UTC))。 |
| awsRegion | string | 必須 | イベントを割り当てる AWS リージョン 先の 。 |
| recipientAccountId | string | 必須 | このイベントを受信した AWS アカウント ID を表します。 |
| addendum | 補遺 | オプションです。 | イベントが遅延した理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺ブロックには、不足している情報と、不足している理由が表示されます。 |
**`eventData` のフィールドは、設定項目によって提供されます**
| フィールド名 | 入力タイプ | 要件 | 説明 |
| --- | --- | --- | --- |
| eventData | - | 必須 | eventData のフィールドは、設定項目によって提供されます。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | ソースからの設定項目のバージョン。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | 設定の記録が開始された時刻。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | 設定項目のステータス。有効な値は、`OK`、`ResourceDiscovered`、`ResourceNotRecorded`、` ResourceDeleted`、`ResourceDeletedNotRecorded` です。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | リソースに関連付けられている 12 桁の AWS アカウント ID。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | AWS リソースのタイプ。有効なリソースタイプの詳細については、「*AWS Config API リファレンス*」の「[ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)」を参照してください。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | リソースの ID (例: sg-*xxxxxx*)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | リソースのカスタム名 (使用可能な場合)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | リソースに関連付けられた Amazon リソースネーム (ARN)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | AWS リージョン リソースが存在する 。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | リソースに関連付けられたアベイラビリティーゾーン。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | リソースが作成されたときのタイムスタンプ。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | オプションです。 | リソースの設定の説明。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | オプションです。 | 特定のリソースタイプに対して が AWS Config 返す設定属性は、設定パラメータに対して返される情報を補足します。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | CloudTrail イベント ID のリスト。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | - | オプションです。 | 関連 AWS リソースのリスト。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | 関連リソースとの関係のタイプ。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | 関連リソースのリソースタイプ。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | 関連するリソースの ID (例: sg-*xxxxxx*)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | オプションです。 | 関連リソースのカスタム名 (使用可能な場合)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | オプションです。 | リソースに関連付けられているキーバリュータグのマッピング。 |
次の例は、設定項目レコードのスキーマ要素の階層に一致する、スキーマ要素の階層を示しています。
```
{
"eventVersion": String,
"eventCategory: String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": Addendum,
"eventData": {
"configurationItemVersion": String,
"configurationItemCaptureTime": String,
"configurationItemStatus": String,
"configurationStateId": String,
"accountId": String,
"resourceType": String,
"resourceId": String,
"resourceName": String,
"arn": String,
"awsRegion": String,
"availabilityZone": String,
"resourceCreationTime": String,
"configuration": {
JSON,
},
"supplementaryConfiguration": {
JSON,
},
"relatedEvents": [
String
],
"relationships": [
struct{
"name" : String,
"resourceType": String,
"resourceId": String,
"resourceName": String
}
],
"tags": {
JSON
}
}
}
}
```
# コンソール AWS を使用して の外部でイベントのイベントデータストアを作成する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
外部のイベントを含めるイベントデータストアを作成し AWS、CloudTrail Lake を使用してアプリケーションからログに記録されるデータを検索、クエリ、分析できます。
CloudTrail Lake *統合*を使用して、オンプレミスまたはクラウド、仮想マシン AWS、コンテナでホストされている社内アプリケーションや SaaS アプリケーションなど、ハイブリッド環境の任意のソースから、 の外部からユーザーアクティビティデータをログに記録して保存できます。
統合用としてイベントデータストアを作成する際は、同時にチャネルも作成し、そのチャネルにリソースポリシーをアタッチします。
CloudTrail Lake のイベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する[料金オプション](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail 料金の詳細については、 ユーザーガイドの「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」および「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
## の外部でイベントのイベントデータストアを作成するには AWS
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. **[Create event data store]** (イベントデータストアの作成) をクリックします。
1. **[Configure event data store]** (イベントデータストアの設定) ページの **[General details]** (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。
1. イベントデータストアで使用したい **[料金オプション]** を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」と「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
以下のオプションが利用できます。
+ **[1 年間の延長可能な保持料金]** – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これはデフォルトのオプションです。
+ **デフォルトの保持期間:** 366 日間
+ **最長保持期間:** 3,653 日間
+ **[7 年間の保持料金]** – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
+ **デフォルトの保持期間:** 2,557 日間
+ **最長保持期間:** 2,557 日間
1. イベントデータストアの保存期間を日数単位で指定します。保持期間は、**1 年間の延長可能な保持料金**オプションの場合で 7 日から 3,653 日 (約 10 年)、**7 年間の保持料金**オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。
CloudTrail Lake は、イベントの `eventTime` が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、`eventTime` が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。
1. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、**「独自の を使用する AWS KMS key**」を選択します。**新規** を選択して AWS KMS key を作成するか、**既存** を選択して既存の KMS キーを使用します。**[Enter KMS alias]** (KMS エイリアスを入力) で、`alias/`*MyAliasName* のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。
独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
**注記**
組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。
1. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、**[Lake クエリフェデレーション]** で **[有効]** を選択します。フェデレーションを使用すると、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「[イベントデータストアのフェデレーション](query-federation.md)」を参照してください。
Lake クエリフェデレーションを有効にするするには、**[有効]** を選択した後に、以下の操作を実行します。
1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが[必要最小限のアクセス許可](query-federation.md#query-federation-permissions-role)を提供していることを確認してください。
1. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。
1. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
1. (オプション) イベントデータストアにリソースベースのポリシーを追加するには、**[リソースポリシーを有効化]** を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。
リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否される[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)と、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。
1. (オプション) **[Tag]** (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「[例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)」を参照してください。でタグを使用する方法の詳細については AWS、[「 AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*ユーザーガイド」の AWS 「リソースのタグ付け*」を参照してください。
1. **[次へ]** を選択して、イベントデータストアを設定します。
1. **[Choose events]** (イベントの選択) ページで、**[Events from integrations]** (統合からのイベント) を選択します。
1. **[Events from integration]** (統合からのイベント) から、イベントデータストアにイベントを配信するソースを選択します。
1. 統合のチャネルを識別するための名前を指定します。名前には 3~128 の文字数が使用できます。使用できるのは文字、数字、ピリオド、アンダースコア、ダッシュのみです。
1. **[Resource policy]** (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。リソースポリシーとは、JSON によるポリシードキュメントです。このドキュメントでは、指定したプリンシパルが対象のリソースにおいて実行できるアクションの種類と、その際の条件を指定します。リソースポリシーでプリンシパルとして定義されているアカウントは、`PutAuditEvents` API を呼び出してイベントをチャネルに配信することができます。IAM ポリシーで `cloudtrail-data:PutAuditEvents` アクションが許可されている場合、リソース所有者はリソースに暗黙的にアクセスできます。
ポリシーに必要な情報は、統合タイプによって決まります。方向統合の場合、CloudTrail はパートナーの AWS アカウント IDs を自動的に追加し、パートナーから提供された一意の外部 ID を入力する必要があります。ソリューション統合では、少なくとも 1 つの AWS アカウント ID をプリンシパルとして指定する必要があり、必要に応じて外部 ID を入力して混乱した代理を防ぐことができます。
**注記**
チャネルのリソースポリシーを作成しない場合は、そのチャネルの所有者だけが、チャネル内で `PutAuditEvents` API を呼び出すことができます。
1. 直接統合の場合には、パートナーから提供された外部 ID を入力します。統合パートナーは、一意の外部 ID (アカウント ID やランダムに生成された文字列など) を統合のために提供し、混乱した代理問題を防ぎます。パートナーが一意の外部 ID の作成と提供を責任もって行います。
**[How to find this?]** (これを見つけるには?) を選択すると、外部 ID を検索する方法が記載された、パートナー提供のドキュメントを表示できます。
![\[外部 ID に関するパートナードキュメント\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/integration-external-id.png)
**注記**
リソースポリシーに外部 ID が含まれているのであれば、`PutAuditEvents` API に対するすべての呼び出しに、この外部 ID を含める必要があります。ただし、ポリシーで外部 ID が定義されていない場合でも、パートナーは、`PutAuditEvents` API を呼び出して `externalId` パラメータを指定することができます。
1. ソリューション統合の場合は、**アカウントの追加 AWS ** を選択して、ポリシーでプリンシパルとして追加する各 AWS アカウント ID を指定します。
1. **[Next]** (次へ) を選択して、選択内容を確認します。
1. **[Review and create]** (確認と作成) ページで、選択内容を確認します。セクションを変更するには、**[Edit]** (編集) をクリックします。イベントデータストアを作成する準備が整ったら、**[Create event data store]** (イベントデータストアの作成) をクリックします。
1. 新しいイベントデータストアが、**[イベントデータストア]** ページの **[イベントデータストア]** テーブルに表示されます。
1. パートナーアプリケーションに対し、チャネルの Amazon リソースネーム (ARN) を指定します。チャネル ARN をパートナーアプリケーションに対し指定するための手順は、パートナードキュメントのウェブサイトで確認できます。詳細を参照するには、**[Integrations]** (統合) ページの **[Available sources]** (利用可能なソース) タブで、パートナーの **[Learn more]** (詳細はこちら) リンクを選択し AWS Marketplace内のパートナーページを開きます。
お客様、パートナー、またはパートナーアプリケーションがチャネルの `PutAuditEvents` API を呼び出すと、イベントデータストアは、CloudTrail に対し統合のチャネルを経由して、パートナーイベントの取り込みを開始します。
# コンソールでイベントデータストアを更新する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
このセクションでは、 AWS マネジメントコンソールを使用してイベントデータストアの設定を更新する方法について説明します。を使用してイベントデータストアを更新する方法については AWS CLI、「」を参照してください[でイベントデータストアを更新する AWS CLI](lake-cli-update-eds.md)。
**イベントデータストアを更新するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. 更新するイベントデータストアを選択します。このアクションで、イベントデータストアの詳細ページが開きます。
1. **[全般的な詳細]** で、**[編集]** を選択して次の設定を変更します。
+ **[イベントデータストア名]** - イベントデータストアを識別する名前を変更します。
+ **[[料金オプション]](cloudtrail-lake-concepts.md#eds-pricing-tier)** - **[7 年間の保持料金]** オプションを使用しているイベントデータストアの場合は、代わりに **[延長可能な 1 年間の保持料金]** を使用するように選択できます。1 か月あたり取り込むイベントデータが 25 TB 未満のイベントデータストアには、延長可能な 1 年間の保持料金をお勧めします。また、最大 10 年の柔軟な保持期間をお求めの場合にも、延長可能な 1 年間の保持料金をお勧めします。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」と「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
**注記**
**[延長可能な 1 年間の保持料金]** を使用するイベントデータストアの料金オプションは変更できません。**[7 年間の保持料金]** を使用したい場合は、現在のイベントデータストアへの[取り込みを停止](query-eds-stop-ingestion.md)します。次に、**[7 年間の保持料金]** オプションで新しいイベントデータストアを作成します。
+ **[保持期間]** - イベントデータストアの保持期間を変更します。保持期間によって、イベントデータをイベントデータストアに保持する期間が決まります。保持期間は、**1 年間の延長可能な保持料金**オプションの場合で 7 日から 3,653 日 (約 10 年)、**7 年間の保持料金**オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。
**注記**
イベントデータストアの保持期間を短くすると、CloudTrail は新しい保存期間よりも古い `eventTime` を持つイベントをすべて削除します。たとえば、以前の保存期間が 365 日だったものを 100 日に減らした場合、CloudTrail は 100 日以上経過した `eventTime` を持つイベントを削除します。
+ **[暗号化]** - 自分の KMS キーを使用してイベントデータストアを暗号化するには、**[自分の AWS KMS keyを使用]** を選択します。デフォルトでは、イベントデータストア内のすべてのイベントは CloudTrail によって暗号化されます。独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。
**注記**
イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
+ 現在の AWS リージョンでログに記録されたイベントのみを含めるには、**[イベントデータストアに現在のリージョンのみを含める]** を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。
+ イベントデータストアが AWS Organizations 組織内のすべてのアカウントからイベントを収集できるようにするには、**組織内のすべてのアカウントに対して有効化**を選択します。このオプションは、組織の管理アカウントでサインインしていて、イベントデータストアの [**イベントタイプ]** が **[CloudTrail イベント]** または **[設定項目]** である場合にのみ使用できます。
完了したら、**[変更の保存]** を選択します。
1. **[Lake クエリフェデレーション]** では、**[編集]** を選択して Lake クエリフェデレーションを有効または無効にします。[Lake クエリフェデレーションを有効にする](query-enable-federation.md)と、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)でイベントデータストアのメタデータを表示し、Amazon Athena を使用してイベントデータに対して SQL クエリを実行できます。[Lake クエリフェデレーションを無効にする](query-disable-federation.md)と AWS Glue、 AWS Lake Formation、および Amazon Athena との統合が無効になります。Lake クエリフェデレーションを無効にした後は、Athena でデータをクエリできなくなります。フェデレーションを無効にしても CloudTrail Lake のデータは削除されず、CloudTrail Lake で引き続きクエリを実行できます。
フェデレーションを有効にするには、次の手順を実行します。
1. **[有効化]** を選択します。
1. 新しい IAM ロールを作成するか、既存のロールを使用するか選択します。新しいロールを作成すると、必要なアクセス許可が付与されたロールが CloudTrail により自動的に作成されます。既存のロールを使用する場合は、そのロールのポリシーが[必要最小限のアクセス許可](query-federation.md#query-federation-permissions-role)を提供していることを確認してください。
1. 新しい IAM ロールを作成する場合は、ロールの名前を入力します。
1. 既存の IAM ロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
完了したら、**[Save changes]** (変更の保存) を選択します。
1. **[リソースポリシー]** で、**[編集]** を選択して、イベントデータストアのリソースベースのポリシーを追加または修正します。
リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「[イベントデータストアのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)」を参照してください。
リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否される[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)と、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。
1. イベントデータストアの **[イベントタイプ]** に固有の追加設定を編集します。
**CloudTrail イベントの設定**
+ イベントデータストアがログに記録するイベントを変更するには、**[CloudTrail イベント]** で **[編集]** を選択します。
+ **[管理イベント]** で、**[編集]** を選択して、管理イベントの設定を変更します。詳細については、「[既存のイベントデータストアの管理イベント設定の更新](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds)」を参照してください。
+ **[データイベント]** で、**[編集]** を選択して、データイベントの設定を変更します。ログに記録するリソースタイプと、使用するログセレクタテンプレートを選択することができます。詳細については、「[コンソールを使用してデータイベントをログに記録するように既存のイベントデータストアを更新する](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds)」を参照してください。
+ **[ネットワークアクティビティイベント]** で、**[編集]** を選択してネットワークアクティビティイベントの設定を変更します。ログに記録するネットワークアクティビティイベントタイプと、使用するログセレクタテンプレートを選択することができます。詳細については、「[既存のイベントデータストアを更新してネットワークアクティビティイベントのログを記録する](logging-network-events-with-cloudtrail.md#log-network-events-lake-console)」を参照してください。
+ **[イベントを強化、イベントサイズを拡張]** で、**[編集]** を選択してリソースタグと IAM グローバル条件キーを追加または削除し、イベントサイズを拡張します。
**[イベントを強化する]** で、最大 50 個のリソースタグキーと 50 個の IAM グローバル条件キーを追加して、イベントに関する追加のメタデータを提供します。これにより、関連するイベントを分類して整理できます。
リソースタグキーを追加すると、CloudTrail には API コールに関係したリソースに関連する選択したタグキーが含まれます。削除されたリソースに関連する API イベントにはリソースタグはありません。
IAM グローバル条件キーを追加すると、CloudTrail には、プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加情報など、承認プロセス中に評価された選択した条件キーに関する情報が含まれます。
リソースタグキーと IAM グローバル条件キーに関する情報は、イベントの `eventContext` フィールドに表示されます。詳細については、「[リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する](cloudtrail-context-events.md)」を参照してください。
**注記**
イベントにイベントリージョンに属さないリソースが含まれている場合、タグの取得はイベントリージョンに制限されているため、CloudTrail はこのリソースのタグを入力しません。
**[イベントサイズの拡張]** を選択して、イベントペイロードを 256 KB から最大 1 MB まで拡張します。このオプションは、追加したすべてのキーがイベントに含まれるようにリソースタグキーまたは IAM グローバル条件キーを追加すると、自動的に有効になります。
イベントサイズを拡大すると、イベントペイロードが 1 MB 未満であれば、次のフィールドの完全なコンテンツを表示できるため、イベントの分析やトラブルシューティングに役立ちます。
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
これらのフィールドの詳細については、「[CloudTrail レコードの内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)」を参照してください。
完了したら、**[変更の保存]** を選択します。
**統合からのイベントの設定**
**[統合]** で、統合を選択します。次に **[編集]** を選択し、次の設定を変更します。
+ **[統合の詳細]** で、統合のチャネルを識別する名前を変更します。
+ **[イベントの配信場所]** で、イベントの配信先を選択します。
+ **[Resource policy]** (リソースポリシー) では、統合のチャネル用にリソースポリシーを設定します。
完了したら、**[変更の保存]** を選択します。
これらの設定の詳細については、「[コンソールで CloudTrail パートナーとの統合を作成する](query-event-data-store-integration-partner.md)」をご参照ください。
1. タグを追加、変更、または削除するには、**[タグ]** で **[編集]** を選択します。イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加できます。完了したら、**[変更の保存]** を選択します。
# コンソールでイベント取り込みを停止および開始する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
デフォルトでは、イベントデータストアはイベントを取り込むように設定されています。コンソール、、または APIs を使用して AWS CLI、イベントデータストアによるイベントの取り込みを停止できます。
**取り込みを開始**および**停止**するオプションは、CloudTrail イベント (管理イベント、データイベント、ネットワークアクティビティイベント) または AWS Config 設定項目を含むイベントデータストアでのみ使用できます。
イベントデータストアで取り込みを停止すると、イベントデータストアの状態が `STOPPED_INGESTION` に変化します。引き続き、イベントデータストアにすでに存在するイベントに対してクエリを実行することは可能です。証跡イベントをイベントデータストアにコピーすることもできます (CloudTrail イベントのみが含まれる場合)。
**イベントデータストアのイベント取り込みを停止するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. イベントデータストアを選択します。
1. **[アクション]** で **[取り込みを停止]** を選択します。
1. 確認を求められたら、**[取り込みを停止]** を選択します。イベントデータストアは、ライブイベントの取り込みを停止します。
1. 取り込みを再開するときは、**[取り込みを開始]** を選択します。
**イベントの取り込みを再開するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. イベントデータストアを選択します。
1. **[アクション]** で **[取り込みを開始]** を選択します。
# コンソールで終了保護を変更する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
デフォルトでは、 AWS CloudTrail Lake のイベントデータストアは終了保護が有効に設定されています。終了保護は、イベントデータストアが誤って削除されることを防ぎます。イベントデータストアを削除する場合は、終了保護を無効にする必要があります。終了保護を無効にするには AWS マネジメントコンソール、、 AWS CLI、または API オペレーションを使用します。
**終了保護を無効にするには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. イベントデータストアを選択します。
1. **[アクション]** で、**[終了保護の変更]** を選択します。
1. **[無効]** を選択します。
1. **[保存]** を選択します。これで、[イベントデータストアを削除](query-event-data-store-delete.md)できるようになりました。
**終了保護を有効にするには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. イベントデータストアを選択します。
1. **[アクション]** で、**[終了保護の変更]** を選択します。
1. 終了保護を有効にするには、**[有効]** を選択します。
1. **[保存]** を選択します。
# コンソールでイベントデータストアを削除する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
このセクションでは、CloudTrail コンソールを使用してイベントデータストアを削除する方法について説明します。を使用してイベントデータストアを削除する方法については AWS CLI、「」を参照してください[を使用してイベントデータストアを削除する AWS CLI](lake-cli-delete-eds.md)。
**注記**
[終了保護](query-eds-termination-protection.md)または [Lake クエリフェデレーション](query-enable-federation.md)が有効になっている場合、イベントデータストアは削除できません。デフォルトでは、CloudTrail では終了保護が有効になり、イベントデータストアが誤って削除されるのを防ぎます。
イベントタイプが **[統合からのイベント]** のイベントデータストアを削除するには、まず統合のチャネルを削除する必要があります。チャネルは、統合の [詳細] ページから、または **aws cloudtrail delete-channel** コマンドを使用して削除できます。詳細については、[チャネルを削除して との統合を削除する AWS CLI](lake-cli-delete-integration.md)を参照してください。
**イベントデータストアを削除するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. イベントデータストアを選択します。
1. [**Actions (アクション)**] では、[**Delete (削除)**] を選択します。
1. イベントデータストアの名前を入力して、削除することを確認します。
1. **[削除]** を選択します。
イベントデータストアを削除すると、イベントデータストアのステータスは `PENDING_DELETION` に変化し、7 日間その状態が続きます。7 日間の待機期間中は、イベントデータストアを[復元](query-eds-restore.md)できます。`PENDING_DELETION` 状態の間、イベントデータストアをクエリに使用することはできず、復元操作以外の操作をイベントデータストアで実行することはできません。削除保留中のイベントデータストアはイベントの取り込みを行わないため、料金は発生しません。削除保留中のイベントデータストアは、1 つの AWS リージョンに存在する可能性のあるイベントデータストアのクォータにカウントされます。
# コンソールでイベントデータストアを復元する
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
AWS CloudTrail Lake でイベントデータストアを削除する`PENDING_DELETION`と、そのステータスは に変わり、7 日間その状態のままになります。この間、 AWS マネジメントコンソール、、または [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html) API オペレーションを使用して AWS CLI、イベントデータストアを復元できます。
このセクションでは、コンソールを使用してイベントデータストアを復元する方法について説明します。を使用してイベントデータストアを復元する方法については AWS CLI、「」を参照してください[を使用してイベントデータストアを復元する AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds)。
**イベントデータストアを復元するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. イベントデータストアを選択します。
1. **[アクション]** で、**[復元]** を選択します。
# CloudTrail Lake Event Data Store から CloudWatch へのデータのエクスポート
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
CloudTrail Lake データを CloudWatch で使用できるようにすると、いくつかの利点があります。
+ **一元化されたログ管理** - CloudTrail イベントを CloudWatch のアプリケーションログ、インフラストラクチャログ、その他のデータソースと組み合わせます。
+ **統合の簡素化** - CloudWatch はインポートプロセスをわずか数ステップで処理します。イベントデータストアとデータ範囲を指定します。
+ **履歴データアクセス** - 履歴 CloudTrail Lake データをインポートして、現在の運用データとともに過去のイベントを分析します。
+ **追加の CloudTrail コスト**なし - CloudTrail Lake データのインポートが簡素化され、追加の CloudTrail コストなしで利用できます。ただし、低頻度アクセスカスタムログの料金が適用された場合、CloudWatch のコストが発生します。
このセクションでは、CloudTrail コンソールを使用してイベントデータストアからデータをエクスポートする方法について説明します。SDK または を使用してこれを実行する方法については AWS CLI、[CloudWatch ドキュメント](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)」を参照してください。
**イベントデータストアからデータをエクスポートするには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. イベントデータストアを選択します。
1. **アクション**から、**CloudWatch にエクスポート**を選択します。
1. EDS のデータをエクスポートする時間範囲を選択します。
1. 手順に従って、エクスポート用のデータにアクセスするために CloudTrail が使用する IAM ロールを作成または指定します。
1. **[エクスポート]** を選択します。
CloudTrail Lake データを CloudWatch にエクスポートできるようにするときは、次の点を考慮してください。
+ **料金** - CloudTrail Lake データの簡易エクスポートは追加の CloudTrail コストなしで利用できますが、カスタムログの料金に基づいて CloudWatch 料金が発生します。
+ **データ保持** - CloudTrail Lake イベントデータストアの保持期間に、エクスポートする履歴データが含まれていることを確認します。
+ **リージョンの可用性** - この機能でサポートされている AWS リージョンについては、CloudWatch ドキュメントを参照してください。
+ **イベントデータストアへのアクセス** - データがエクスポートされるイベントデータストアにアクセスできる必要があります。