証跡を複数作成する

CloudTrail ログファイルは、AWS アカウント内でのオペレーションやセキュリティに関する問題をトラブルシューティングするために使用できます。ユーザーの種類ごとに複数の証跡を作成すれば、それらのユーザーが独自の証跡を作成し、管理できるようになります。証跡のログファイルの配信先としては、個別の S3 バケットか、共有の S3 バケットを設定できます。

注記

複数の認跡の作成では、追加コストが発生します。詳細については、「AWS CloudTrail の料金」を参照してください。

例えば、次のような要件に応じて、ユーザーごとの証跡を作成できます。

• セキュリティ管理者が欧州 (アイルランド) リージョンの証跡を作成し、KMS のログファイル暗号化を設定できるようにします。この証跡では、欧州 (アイルランド) リージョンの S3 バケットにログファイルを配信します。

• IT 監査者が欧州 (アイルランド) リージョンの証跡を作成し、CloudTrail からの配信以降にログファイルが変更されていないことを確認するためのログファイル整合性検証を設定できるようにします。この証跡では、欧州 (フランクフルト) リージョンの S3 バケットにログファイルを配信するよう設定します。

• デベロッパーが欧州 (フランクフルト) リージョンの証跡を作成し、特定の API アクティビティについて通知を受け取るための CloudWatch アラームを設定できるようにします。この証跡では、ログファイルの整合性確認用に設定された証跡と同じ S3 バケットを共有します。

• もう 1 人のデベロッパーが欧州 (フランクフルト) リージョンの証跡を作成し、SNS を設定できるようにします。ログファイルは、欧州 (フランクフルト) リージョンの個別の S3 バケットに配信します。

次の図は、この例を説明したものです。

注記

各 AWS リージョン には最大で 5 つの証跡を作成できます。すべてのリージョンの、アクティビティのログ記録を行う証跡は、リージョンごとに 1 つの証跡として計上されます。

リソースレベルのアクセス許可を使用して、ユーザーが CloudTrail に対して実行できるオペレーションを管理することもできます。

たとえば、あるユーザーに証跡のアクティビティ表示権限を付与しながらも、ログ記録の開始権限や停止権限は制限するといったことが可能です。また、証跡の作成や削除を行えるフル権限は別のユーザーに付与するといったことも可能です。これにより、証跡とユーザーアクセスを詳細に制御することができます。

リソースレベルのアクセス許可の詳細については、「例: 特定の証跡に対するアクションのポリシーの作成と適用」を参照してください

複数の証跡の使用に関する詳細については、以下の関連リソースを参照してください。

• 地域的にも世界的にもどのように振る舞うのか？ CloudTrail

• CloudTrail のよくある質問