すべてのプロダクト
Search
ドキュメントセンター

ActionTrail:管理イベントの構造

最終更新日:Jan 17, 2025

このトピックでは、管理イベントの主要フィールドについて説明します。また、管理イベントの例も示します。

主要フィールド

フィールド

説明

acsRegion

管理イベントが生成されたリージョンの ID です。

additionalEventData

管理イベントに関する追加情報です。

apiVersion

eventType の値が ApiCall の場合、管理イベントは API 操作の呼び出しを記録します。この場合、このフィールドは API 操作のバージョンを示します。

eventCategory

イベントのタイプです。有効な値:Management。管理イベントを示します。

eventId

管理イベントの ID です。

eventName

管理イベントの名前です。

  • eventType の値が ApiCall の場合、このフィールドの値は呼び出される API 操作の名前です。

  • eventType の値が ApiCall でない場合、このフィールドの値は管理イベントに記録される操作を示します。

eventRW

管理イベントの読み取り/書き込みタイプです。有効な値:

  • Write:書き込みイベントを示します。

  • Read:読み取りイベントを示します。

eventSource

管理イベントのソースです。

eventTime

管理イベントが生成された時刻 (UTC) です。

eventType

管理イベントに記録される操作のタイプです。有効な値:

  • ApiCall:API 操作が呼び出されたことを示します。

  • ConsoleOperation:コンソールまたは特定の Alibaba Cloud サービスの購入ページで管理操作が実行されたことを示します。

  • ConsoleSignin:Alibaba Cloud 管理コンソールへのログインを示します。

  • ConsoleSignout:Alibaba Cloud 管理コンソールからのログオフを示します。

  • AliyunServiceEvent:Alibaba Cloud が所有するリソースに対して Alibaba Cloud が管理操作を実行したことを示します。たとえば、Alibaba Cloud が期限切れのサブスクリプションインスタンスをリリースした場合などです。

eventVersion

管理イベントのフォーマットバージョンです。現在のバージョンは 1 です。

errorCode

API リクエストの処理中にエラーが発生した場合に返されるエラーコードです。

errorMessage

API リクエストの処理中にエラーが発生した場合に返されるエラーメッセージです。

requestId

リクエスト ID です。

requestParameters

API リクエストで指定されたパラメーターです。

requestParameterJson

API リクエストで指定されたパラメーター (JSON 形式) です。このフィールドは、requestParameters フィールドと同じ目的で使用されます。

resourceName

イベントに関連付けられたリソースの名前です。この名前は、リソースの一意の識別子です。

説明

同じタイプのリソースの名前はコンマ (,) で区切られます。異なるタイプのリソースの名前はセミコロン (;) で区切られます。

resourceType

イベントに関連付けられたリソースのタイプです。

説明

複数のリソースタイプはセミコロン (;) で区切られます。

responseElements

API リクエストに対して返されるレスポンスです。

referencedResources

管理イベントに関連するリソースです。

serviceName

管理イベントが生成される Alibaba Cloud サービスの名前です。

sourceIpAddress

管理イベントが生成された IP アドレスです。有効な値:

  • リクエストを開始したクライアントのアドレス。IPv4 アドレスと IPv6 アドレスがサポートされています。

  • リクエストが Alibaba Cloud サービスによって開始された場合、値はクラウドサービス識別子として記録されます。例:ecs.aliyuncs.com。

  • 送信元 IP アドレスが VPC (Virtual Private Cloud) の CIDR ブロックまたは Alibaba Cloud の内部 CIDR ブロックに属しており、送信元 IP アドレスが VPC からのものであるかどうかを区別できない場合、値は Internal として記録されます。

userAgent

API リクエストを送信するエージェントです。

isGlobal

イベントがグローバルイベントかどうかを示します。有効な値:

  • true

  • false

eventAttributes

イベントの属性です。

詳細については、「eventAttributes に含まれるフィールド」をご参照ください。

userIdentity

リクエスト元の ID 情報です。

詳細については、「userIdentity に含まれるフィールド」をご参照ください。

表 1. eventAttributes に含まれるフィールド

フィールド

説明

SensitiveAction

イベントに記録される操作が機密性の高い操作かどうかを示します。有効な値:true。

表 2. userIdentity に含まれるフィールド

フィールド

説明

type

ID のタイプです。有効な値:

  • root-account:Alibaba Cloud アカウントを示します。

  • ram-user:RAM (Resource Access Management) ユーザーを示します。

  • assumed-role:RAM ロールを示します。

  • system:Alibaba Cloud サービスを示します。

  • cloudsso-user:CloudSSO ユーザーを示します。

  • saml-user:SAML (Security Assertion Markup Language) に基づく企業固有の ID を示します。

  • alibaba-cloud-account:アカウント間操作の実行を承認された ID を示します。

  • oidc-user:OIDC に基づく企業固有の ID を示します。

principalId

リクエスト元の ID です。このフィールドを type フィールドと組み合わせて使用して、リクエスト元の ID を確認できます。

  • type フィールドの値が root-account の場合、このフィールドの値は Alibaba Cloud アカウントの ID です。

  • type フィールドの値が ram-user の場合、このフィールドの値は RAM ユーザーの ID です。

  • type フィールドの値が assumed-role の場合、このフィールドの値は RoleID:RoleSessionName 形式です。

  • type フィールドの値が cloudsso-user の場合、このフィールドの値は CloudSSO ユーザーの ID です。

  • type フィールドの値が alibaba-cloud-account の場合、このフィールドの値は次のいずれかの ID です。

    • リクエスト元が Alibaba Cloud アカウントを使用して別の Alibaba Cloud アカウント内のリソースに対して操作を実行する場合、このフィールドの値は最初の Alibaba Cloud アカウントの ID です。

    • リクエスト元が RAM ユーザーを使用して別の Alibaba Cloud アカウント内のリソースに対して操作を実行する場合、このフィールドの値は RAM ユーザーの ID です。

    • リクエスト元が RAM ロールを引き受けて別の Alibaba Cloud アカウント内のリソースに対して操作を実行する場合、このフィールドの値は RoleID:RoleSessionName 形式です。

  • type フィールドの値が saml-useroidc-user、または system の場合、principalId フィールドは記録されません。

accountId

リクエスト元の Alibaba Cloud アカウントの ID です。

accessKeyId

リクエスト元が使用する AccessKey ID です。

  • リクエスト元が SDK を使用して API リクエストを送信した場合、このフィールドは記録されます。

  • リクエスト元が Alibaba Cloud 管理コンソールで操作を実行した場合、このフィールドは記録されません。

  • リクエスト元が STS (Security Token Service) トークンを使用して API リクエストを送信した場合、このフィールドは一時的な AccessKey ID に設定されます。

userName

リクエスト元の名前です。

  • type フィールドの値が ram-user の場合、このフィールドの値は RAM ユーザーの名前です。

  • type フィールドの値が assumed-role の場合、このフィールドの値は RoleName:RoleSessionName 形式です。

  • type フィールドの値が root-account の場合、このフィールドの値は root です。

  • type フィールドの値が cloudsso-user の場合、このフィールドの値は CloudSSO ユーザーの名前です。

  • type フィールドの値が saml-user の場合、このフィールドの値は SAML に基づく企業固有の ID のユーザー名です。

  • type フィールドの値が alibaba-cloud-account または system の場合、userName フィールドは記録されません。

  • type フィールドの値が oidc-user の場合、このフィールドの値は OpenID Connect (OIDC) に基づく企業固有の ID のユーザー名です。

sessionContext

リクエスト元が STS トークンを使用して API リクエストを送信した場合、または Alibaba Cloud 管理コンソールで操作を実行した場合に記録されるセッションコンテキストです。セッションコンテキストには、creationDate と mfaAuthenticated が含まれます。

  • creationDate:STS トークンが作成された時刻です。

  • mfaAuthenticated:Alibaba Cloud 管理コンソールへのログインで多要素認証 (MFA) が有効になっているかどうかを示します。

{
  "eventId": "92b33345-0cef-47be-821f-fb9914d3****",
  "eventAttributes": {
    "SensitiveAction": "true"
  },
  "eventVersion": 1,
  "sourceIpAddress": "ecs.aliyuncs.com",
  "userAgent": "ecs.aliyuncs.com",
  "eventRW": "Write",
  "eventType": "ApiCall",
  "referencedResources": {
    "ACS::ECS::Instance": [
      "i-8vb0smn1lf6g77md****"
    ],
    "ACS::ECS::Disk": [
      "d-8vbf8rpv2nn0l1zm****"
    ]
  },
  "userIdentity": {
    "type": "system",
    "userName": "ecs.aliyuncs.com"
  },
  "serviceName": "Ecs",
  "requestId": "32B7EB75-62EE-511E-9449-E19EBF67C2ED",
  "eventTime": "2022-10-22T21:52:00Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DeleteDisk"
}