クロスアカウントのログデータをサブスクリプションと共有する - Amazon CloudWatch Logs

クロスアカウントのログデータをサブスクリプションと共有する

別の AWS アカウントの所有者と協力して、Amazon Kinesis ストリームなどのご自身の AWS リソースで相手のログイベントを受信することができます (これは、クロスアカウントデータ共有と呼ばれます)。たとえば、このログイベントデータを集中管理型の Amazon Kinesis ストリームから読み取り、カスタム処理や分析を実行することができます。カスタム処理は、多数のアカウントが協力しデータを分析する場合に特に便利です。たとえば、ある会社の情報セキュリティグループがリアルタイムで侵入または異常な挙動を検出するためにデータを分析するとします。この場合、会社の全部署のアカウントのフェデレーションされた本稼働ログを中央処理のために収集することによって、これらのアカウントの監査を行うことができます。これらすべてのアカウントのイベントデータのリアルタイムストリームは、アセンブルした後に、Kinesis を使用してデータを既存のセキュリティ分析システムにアタッチできる情報セキュリティグループに配信できます。

Kinesis ストリームは、クロスアカウントサブスクリプションの送信先として現在サポートされている唯一のリソースです。

複数のアカウントでログデータを共有するには、ログデータの送信者と受信者を確立する必要があります。

  • [Log data sender]—受取人から送信先情報を取得し、そのログイベントを特定の送信先に送信する準備が完了していることを CloudWatch Logs に通知します。このセクションの残りの手順では、ログデータの送信者に、架空の AWS アカウント番号 111111111111 が表示されます。

  • [Log data recipient] — Kinesisストリームをカプセル化する送信先を設定し、受取人がログデータの受け取りを希望していることを CloudWatch Logs に通知します。この後、受取人は自分の送信先に関する情報を送信者と共有します。このセクションの残りの手順では、ログデータの受信者に、架空の AWS アカウント番号 999999999999 が表示されます。

クロスアカウントのユーザーからのログイベントの受け取りを開始するには、ログデータの受取人がまず CloudWatch Logs 送信先を作成する必要があります。各送信先は以下のキー要素で構成されています。

送信先名

作成する送信先の名前。

ターゲット ARN

サブスクリプションフィードの送信先として使用する AWS リソースの Amazon リソースネーム (ARN)。

ロールの ARN

特定の Kinesis ストリームにデータを入力するために必要なアクセス許可を CloudWatch Logs に付与する AWS Identity and Access Management (IAM) ロール。

アクセスポリシー

送信先に書き込むことが許可されている一連のユーザーを管理する IAM ポリシードキュメント (IAM ポリシー構文を使用して記述された JSON 形式のドキュメント)。

ロググループと送信先は同じ AWS リージョンに存在している必要があります。ただし、送信先が指す AWS リソースは、別のリージョンに配置することができます。