を使用した組織の証跡の作成 AWS CLI - AWS CloudTrail
組織の証跡のログファイルを保存するために使用する Amazon S3 バケットを作成または更新するで信頼されたサービス CloudTrail として を有効にする AWS Organizations「create-trail の使用」update-trail を実行して組織証跡を更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した組織の証跡の作成 AWS CLI

AWS CLIを使用して組織の証跡を作成できます。 AWS CLI は、追加の機能とコマンドで定期的に更新されます。成功するためには、開始 AWS CLI する前に最新バージョンをインストールまたは更新していることを確認してください。

注記

このセクションの例は、組織の証跡の作成と更新に固有のものです。を使用して証跡を管理する例については、 AWS CLI を使用した証跡の管理 AWS CLI「」および「」を参照してください CloudWatch を使用してログモニタリングを設定します。 AWS CLI。を使用して組織の証跡を作成または更新するときは AWS CLI、十分なアクセス許可を持つ管理アカウントまたは委任された管理者アカウントの AWS CLI プロファイルを使用する必要があります。組織の証跡を非組織の証跡に変換する場合は、組織の管理アカウントを使用する必要があります。

組織の証跡に使用する Amazon S3 バケットを十分なアクセス許可で設定する必要があります。

組織の証跡のログファイルを保存するために使用する Amazon S3 バケットを作成または更新する

組織の証跡のログファイルを受信するには、Amazon S3 バケットを指定する必要があります。このバケットには、組織のログファイルをバケットに入れる CloudTrail ことを に許可するポリシーが必要です。

以下は、組織の管理アカウントが所有する DOC-EXAMPLE-BUCKET という名前の Amazon S3 バケットのポリシーの例です。DOC-EXAMPLE-BUCKET リージョン managementAccountIDtrailName、および o-organizationID を組織の値に置き換えます。

このバケットには、3 つのステートメントがあります。

  • 最初のステートメントでは CloudTrail 、 が Amazon S3 バケットで Amazon S3 GetBucketAclアクションを呼び出すことができます。

  • 2 番目のステートメントでは、証跡が組織の証跡からそのアカウントの証跡にのみ変更された場合にログに記録することを許可します。

  • 3 番目のステートメントでは、組織証跡をログに記録することが可能になります。

ポリシー例には、Amazon S3 バケットポリシーの aws:SourceArn 条件キーが含まれています。IAM グローバル条件キーは、 が特定の証跡または証跡に対してのみ S3 バケットに CloudTrail 書き込むようにするaws:SourceArnのに役立ちます。組織の証跡の場合、aws:SourceArn の値は管理アカウントで保持され、管理アカウント ID を使用する証跡の ARN である必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/managementAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailOrganizationWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/o-organizationID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        }
    ]
}

このポリシー例では、メンバーアカウントのユーザーが組織用に作成されたログファイルにアクセスすることを許可していません。デフォルトでは、組織のログファイルは管理アカウントにのみアクセスできます。メンバーアカウントの IAM ユーザーに対して Amazon S3 バケットへの読み取りアクセスを許可する方法については、「AWS アカウント間での CloudTrail ログファイルの共有」を参照してください。

で信頼されたサービス CloudTrail として を有効にする AWS Organizations

組織の証跡を作成する前に、まず Organizations のすべての機能を有効化する必要があります。詳細については、「自分の組織のすべての機能を有効化する」を参照してください。または、管理アカウントで十分なアクセス許可を持つプロファイルを使用して、次のコマンドを実行します。

aws organizations enable-all-features

すべての機能を有効にしたら、信頼できるサービス CloudTrail として信頼するように Organizations を設定する必要があります。

AWS Organizations と の間に信頼されたサービス関係を作成するには CloudTrail、ターミナルまたはコマンドラインを開き、管理アカウントのプロファイルを使用します。以下の例のように、aws organizations enable-aws-service-access コマンドを実行します。

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

「create-trail の使用」

すべてのリージョンに適用される組織の証跡の作成

すべてのリージョンに適用される組織の証跡を作成するには、--is-organization-trail と --is-multi-region-trail のオプションを追加します。

注記

を使用して組織の証跡を作成する場合は AWS CLI、十分なアクセス許可を持つ管理アカウントまたは委任された管理者アカウントの AWS CLI プロファイルを使用する必要があります。

次の例では、すべてのリージョンから DOC-EXAMPLE-BUCKET という既存のバケットにログを配信する組織の証跡を作成します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-organization-trail --is-multi-region-trail

証跡がすべてのリージョンに存在することを確認するために、出力の IsOrganizationTrail および IsMultiRegionTrail パラメータは両方とも true に設定されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}
注記

証跡のログ記録を開始するには start-logging コマンドを実行します。詳細については、「証跡のログ記録の停止と開始」を参照してください。

単一リージョンの証跡としての組織の証跡の作成

次のコマンドは、単一リージョンの証跡とも呼ばれる AWS リージョン単一の のイベントのみをログに記録する組織の証跡を作成します。イベントがログに記録される AWS リージョンは、 の設定プロファイルで指定されたリージョンです AWS CLI。

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-organization-trail

詳細については、「 CloudTrail リソース、S3 バケット、KMS キーの命名要件」を参照してください。

サンプル出力:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

デフォルトでは、create-trail コマンドはログファイルの検証を有効にしない単一リージョンの証跡を作成します。

注記

証跡のログ記録を開始するには start-logging コマンドを実行します。

update-trail を実行して組織証跡を更新する

update-trail コマンドを実行して、組織の証跡の設定を変更したり、単一の AWS アカウントの既存の証跡を組織全体に適用したりできます。update-trail コマンドは、証跡が作成されたリージョンからしか実行できないことに注意してください。

注記

AWS CLI またはいずれかの AWS SDKs を使用して証跡を更新する場合は、証跡のバケットポリシーが であることを確認します up-to-date。詳細については、「を使用した組織の証跡の作成 AWS CLI」を参照してください。

で組織の証跡を更新する場合は AWS CLI、十分なアクセス許可を持つ管理アカウントまたは委任された管理者アカウントのプロファイルを使用する必要があります AWS CLI 。組織の証跡を非組織の証跡に変換する場合は、組織の管理アカウントを使用する必要があります。管理アカウントはすべての組織リソースの所有者であるためです。

CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントの組織の証跡を更新します。検証の失敗の例は次のとおりです。

  • Amazon S3 バケットポリシーが正しくない

  • Amazon SNS トピックポリシーが正しくない

  • Logs CloudWatch ロググループに配信できない

  • KMS キーを使用して暗号化するアクセス許可が不十分

アクセス CloudTrail 許可を持つメンバーアカウントは、 CloudTrail コンソールで証跡の詳細ページを表示するか、 コマンドを実行する AWS CLI get-trail-statusことで、組織の証跡の検証に失敗したことを確認できます。

既存の証跡を組織に適用する

既存の証跡を変更して、単一の AWS アカウントではなく組織にも適用されるようにするには、次の例に示すように、 --is-organization-trailオプションを追加します。

注記

管理アカウントを使用して、既存の非組織の証跡を組織の証跡に変更します。

aws cloudtrail update-trail --name my-trail --is-organization-trail

証跡が組織に適用されるようになったことを確認するために、出力の IsOrganizationTrail パラメータは true の値を持ちます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

前述の例では、証跡はすべてのリージョンに適用されるように構成されています ("IsMultiRegionTrail": true)。単一のリージョンにのみ適用される証跡は、出力には "IsMultiRegionTrail": false と表示されます。

1 つのリージョンに適用される組織の証跡を変換してすべてのリージョンに適用する

既存の組織証跡を変更してすべてのリージョンに適用されるようにするには、次の例に示すような --is-multi-region-trail オプションを追加します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail パラメータは true の値を持ちます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}