すべてのプロダクト
Search

このプロダクト

    :CreateTrail

    ドキュメントセンター

    :CreateTrail

    最終更新日:Mar 26, 2026

    トレイルを作成して、イベントを長期保存および分析のための送信先(Object Storage Service (OSS) バケット、Simple Log Service (SLS) Logstore、または MaxCompute プロジェクトなど)に配信します。

    操作説明

    説明

    この API を使用して作成したトレイルは、デフォルトで無効状態です。トレイルを有効化するには、StartLogging 操作を呼び出してください。トレイルが有効化されると、ActionTrail は指定された送信先へイベントの配信を開始します。

    前提条件

    トレイルを作成する前に、以下のいずれかのリソースを送信先として設定しておく必要があります。

    • OSS

      OSS を有効化し、バケットを作成してください。

    • SLS

      SLS を有効化し、Logstore を作成してください。

      説明

      SLS を送信先としてトレイルを作成すると、ActionTrail は指定されたプロジェクト内に actiontrail_<trail_name> という名前の Logstore を自動的に作成します。監査データの整合性を確保するため、この Logstore は ActionTrail からのみイベントを受け付けます。

    • MaxCompute

      MaxCompute を有効化してください。

      説明

      MaxCompute を送信先としてトレイルを作成すると、ActionTrail は actiontrail_<account_ID> という名前のプロジェクトを自動的に作成します。監査データの整合性を確保するため、このプロジェクトは ActionTrail からのみイベントを受け付けます。

    注意事項

    この例では、OSS バケット audit-log にイベントを配信するシングルアカウントトレイル trail-test の作成方法を示します。

    今すぐお試しください

    この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

    テスト

    RAM 認証

    下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

    • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

    • API:アクションを具体的に実行するための API。

    • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

    • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

      • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

      • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

    • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

    • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

    アクション

    アクセスレベル

    リソースタイプ

    条件キー

    依存アクション

    actiontrail:CreateTrail

    create

    *Trail

    acs:actiontrail:{#regionId}:{#accountId}:trail/*

    		 なし なし

    リクエストパラメーター

    パラメーター

    必須 / 任意

    説明

    Name

    string

    必須

    トレイルの名前です。

    説明

    • 長さ:6~36 文字。

    • 使用可能な文字:小文字、数字、ハイフン (-)、アンダースコア (_)。

    • 先頭文字は小文字で始める必要があります。

    • Alibaba Cloud アカウント内で一意である必要があります。

    trail-test
    OssBucketName

    string

    任意

    ActionTrail がイベントを配信する OSS バケットの名前です。

    • 長さ:3~63 文字。

    • 使用可能な文字:小文字、数字、ハイフン (-)。

    • 先頭文字は小文字または数字で始める必要があります。

    説明

    トレイルの送信先を指定するには、以下のパラメーターのいずれか 1 つ以上を必ず指定してください:OssBucketNameSlsProjectArn、または MaxComputeProjectArn

    audit-log
    OssKeyPrefix

    string

    任意

    ActionTrail が OSS バケットに配信するログファイル名のプレフィックスです。

    • 長さ:6~32 文字。

    • 使用可能な文字:英字、数字、ハイフン (-)、スラッシュ (/)、アンダースコア (_)。

    • 先頭文字は英字で始める必要があります。

    at-product-account-audit-B
    OssWriteRoleArn

    string

    任意

    ActionTrail が OSS バケットにイベントを配信するために偽装する RAM ロールの Alibaba Cloud リソースネーム (ARN) です。

    • このパラメーターを指定しない場合、ActionTrail はサービスリンクロールを自動的に作成してイベントを配信します。詳細については、「ActionTrail サービスリンクロール」をご参照ください。

    • ロールを指定する場合は、お客様が作成した RAM ロールを使用してください。このロールには、ActionTrail サービス (actiontrail.aliyuncs.com) による偽装を許可する信頼ポリシーが必要です。また、RAM ポリシーには、指定された OSS バケットへの書き込み権限を付与する必要があります。クロスアカウント配信について詳しくは、「複数の Alibaba Cloud アカウントから同一アカウントへのイベント配信」をご参照ください。

    acs:ram::15127787691****:role/aliyunserviceroleforactiontrail
    SlsProjectArn

    string

    任意

    ActionTrail がイベントを配信する SLS プロジェクトの ARN です。

    説明

    トレイルの送信先を指定するには、以下のパラメーターのいずれか 1 つ以上を必ず指定してください:OssBucketNameSlsProjectArn、または MaxComputeProjectArn

    acs:log:cn-shanghai:151266687691****:project/test-project
    SlsWriteRoleArn

    string

    任意

    ActionTrail が SLS プロジェクトにイベントを配信するために偽装する RAM ロールの ARN です。

    • このパラメーターを指定しない場合、ActionTrail はサービスリンクロールを自動的に作成してイベントを配信します。詳細については、「ActionTrail サービスリンクロール」をご参照ください。

    • ロールを指定する場合は、お客様が作成した RAM ロールを使用してください。このロールには、ActionTrail サービス (actiontrail.aliyuncs.com) による偽装を許可する信頼ポリシーが必要です。また、権限ポリシーには、指定された SLS プロジェクトへの書き込み権限を付与する必要があります。クロスアカウント配信について詳しくは、「複数の Alibaba Cloud アカウントから同一アカウントへのイベント配信」をご参照ください。

    acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
    EventRW

    string

    任意

    トレイルが配信するイベントの読み取り/書き込みタイプを指定します。有効な値は以下のとおりです。

    • Write:書き込みイベント。

    • Read:読み取りイベント。

    • All(デフォルト):すべての読み取りおよび書き込みイベント。

    Write
    TrailRegion

    string

    任意

    トレイルを作成するリージョンです。デフォルトでは、すべてのリージョンでトレイルが作成され、このパラメーターの値は All になります。特定のリージョンでトレイルを作成するには、リージョン ID を指定してください。リージョンに関する詳細については、DescribeRegions 操作を呼び出してください。

    All
    IsOrganizationTrail

    boolean

    任意

    トレイルがマルチアカウントトレイルであるかどうかを指定します。有効な値は以下のとおりです。

    • true

    • false(デフォルト)

    組織向けのトレイルを作成するには、このパラメーターを true に設定してください。このトレイルは、組織内のすべてのメンバーアカウントからイベントを収集します。

    false
    MaxComputeProjectArn

    string

    任意

    ActionTrail がイベントを配信する MaxCompute プロジェクトの ARN です。

    説明

    トレイルの送信先を指定するには、以下のパラメーターのいずれか 1 つ以上を必ず指定してください:OssBucketNameSlsProjectArn、または MaxComputeProjectArn

    説明

    ARN 内のプロジェクト名は、actiontrail_ で始める必要があります。

    acs:odps:cn-hangzhou:15127787691****:project/actiontrail_****
    MaxComputeWriteRoleArn

    string

    任意

    ActionTrail が MaxCompute プロジェクトにイベントを配信するために偽装する RAM ロールの ARN です。

    • このパラメーターを指定しない場合、ActionTrail はサービスリンクロールを自動的に作成してイベントを配信します。詳細については、「ActionTrail サービスリンクロール」をご参照ください。

    • ロールを指定する場合は、お客様が作成した RAM ロールを使用してください。このロールには、ActionTrail サービス (`actiontrail.aliyuncs.com`) による偽装を許可する信頼ポリシーが必要です。また、権限ポリシーには、指定された MaxCompute プロジェクトへの書き込み権限を付与する必要があります。クロスアカウント配信について詳しくは、「複数の Alibaba Cloud アカウントから同一アカウントへのイベント配信」をご参照ください。

    acs:ram::15127787691****:role/aliyunserviceroleforactiontrail

    詳細については、「共通パラメーター」をご参照ください。

    レスポンスフィールド

    フィールド

    説明

    object

    EventRW

    string

    トレイルが配信するイベントの読み取り/書き込みタイプです。

    Write
    HomeRegion

    string

    トレイルのホームリージョンです。

    cn-hangzhou
    MaxComputeProjectArn

    string

    トレイルがイベントを配信する MaxCompute プロジェクトの ARN です。

    acs:odps:cn-hangzhou:151266687691****:project/actiontrail_****
    MaxComputeWriteRoleArn

    string

    ActionTrail が MaxCompute プロジェクトにイベントを配信するために偽装する RAM ロールの ARN です。

    acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
    Name

    string

    トレイルの名前です。

    trail-test
    OssBucketName

    string

    送信先 OSS バケットの名前です。

    audit-log
    OssKeyPrefix

    string

    OSS バケット内のログファイル名のプレフィックスです。

    at-product-account-audit-B
    OssWriteRoleArn

    string

    ActionTrail が OSS バケットにイベントを配信するために偽装する RAM ロールの ARN です。

    acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
    RequestId

    string

    リクエスト ID です。

    442DDADF-DA58-4029-8E8B-82C73E9A7A70
    SlsProjectArn

    string

    トレイルがイベントを配信する SLS プロジェクトの ARN です。

    acs:log:cn-hangzhou:151266687691****:project/test-project
    SlsWriteRoleArn

    string

    ActionTrail が SLS プロジェクトにイベントを配信するために偽装する RAM ロールの ARN です。

    acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
    TrailRegion

    string

    トレイルを作成するリージョンです。All の値は、トレイルがすべてのリージョンからのイベントを処理することを意味します。

    All

    成功レスポンス

    JSONJSON

    {
  "EventRW": "Write",
  "HomeRegion": "cn-hangzhou",
  "MaxComputeProjectArn": "acs:odps:cn-hangzhou:151266687691****:project/actiontrail_****",
  "MaxComputeWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "Name": "trail-test",
  "OssBucketName": "audit-log",
  "OssKeyPrefix": "at-product-account-audit-B",
  "OssWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "RequestId": "442DDADF-DA58-4029-8E8B-82C73E9A7A70",
  "SlsProjectArn": "acs:log:cn-hangzhou:151266687691****:project/test-project",
  "SlsWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "TrailRegion": "All"
}

    エラーコード

    HTTP ステータスコード

    エラーコード

    エラーメッセージ

    説明
    400 InvalidDeliveryConfigurationException You must specify at least one Log Service project or OSS bucket for a Trail.
    400 InvalidPrefixException The specified OSS bucket prefix is invalid. The specified OSS bucket prefix is not valid.
    400 InvalidQueryParameter The specified query parameter is invalid. The specified query parameter is not valid.
    400 InvalidTrailNameException The specified Trail name is invalid. The specified Trail name is not valid.
    400 RepeatOssBucket The specified OSS bucket is already in use. We recommend that you modify the existing Trail or specify another bucket.
    400 SlsProjectDoesNotExistException The specified Log Service project does not exist.
    400 TrailAlreadyExistsException The specified Trail name already exists. The specified Trail name already exists,if you want to create a new Trail,please use another Trail name.
    400 MaximumNumberOfOrganizationTrailExceeded Your account can create only one organization trail.
    400 NotAllowCreateOrganizationTrail Your account does not allow you to create organization trail. Submit a ticket to get customer support.
    403 InsufficientBucketPolicyException Access to the specified OSS bucket was denied.
    403 InsufficientSlsPolicyException Access to the specified Log Service project was denied. Access SLS Project denied.
    403 MaximumNumberOfTrailsExceededException The number of Trails in the same region exceeds the upper limit (5). The number of Trail in same region has exceeded the limit 5
    404 BucketDoesNotExistException The specified OSS bucket does not exist.

    完全なリストについては、「エラーコード」をご参照ください。

    変更履歴

    完全なリストについては、「変更履歴」をご参照ください。