で組織の証跡を作成しますAWS Command Line Interface - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

で組織の証跡を作成しますAWS Command Line Interface

AWS CLI を使用して組織の証跡を作成できます。AWS CLI は定期的に追加の機能とコマンドで更新されています。確実に成功するためには、開始する前に最新の AWS CLI バージョンをインストールまたは更新したことを確認してください。

注記

このセクションの例は、組織の証跡の作成と更新に固有のものです。証跡を管理するための AWS CLI の使用例については、「による軌跡の管理AWS CLI」を参照してください。で組織の証跡を作成または更新する場合AWS CLIを使用する必要があります。AWS CLIプロファイルに、十分なアクセス許可を付与します。

組織の証跡に使用する Amazon S3 バケットを十分なアクセス許可で設定する必要があります。

組織の証跡のログファイルを保存するために使用する Amazon S3 バケットを作成または更新する

組織の証跡用のログファイルを受信するには、Amazon S3 バケットを指定する必要があります。このバケットには、CloudTrail が組織のログファイルをバケットに入れることを許可するポリシーが必要です。

以下は、という名前の Amazon S3 バケットのポリシーの例です。私の組織バケット。このバケットはAWSID を持つアカウント1111111111ID を持つ組織の管理アカウントです。オexampleorgid組織の証跡のログ記録を可能にします。また、1111111111アカウントの証跡が組織の証跡からそのアカウントの証跡のみに変更された場合に表示されます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::my-organization-bucket" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/111111111111/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/o-exampleorgid/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }

このポリシー例では、メンバーアカウントのユーザーが組織用に作成されたログファイルにアクセスすることを許可していません。デフォルトでは、組織のログファイルは管理アカウントにのみアクセスできます。メンバーアカウントの IAM ユーザーに対して Amazon S3 バケットへの読み取りアクセスを許可する方法については、」CloudTrail ログファイルの共有AWSアカウント

で信頼されたサービスとして CloudTrail を有効にしますAWS Organizations

組織の証跡を作成する前に、まず [Organizations] のすべての機能を有効化する必要があります。詳細については、「」を参照してください。組織内のすべての機能の有効化または、管理アカウントで十分なアクセス許可を持つプロファイルを使用して次のコマンドを実行します。

aws organizations enable-all-features

すべての機能を有効化したら、CloudTrail を信頼できるサービスとして信頼するように Organizations を設定する必要があります。

信頼されたサービス関係を作成するには、次の手順に従います。AWS OrganizationsCloudTrail では、ターミナルまたはコマンドラインを開き、管理アカウントのプロファイルを使用します。以下の例のように、aws organizations enable-aws-service-access コマンドを実行します。

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

create-trail の使用

すべてのリージョンに適用される組織の証跡の作成

すべてのリージョンに適用される組織の証跡を作成するには、--is-organization-trailおよび--is-multi-region-trailオプション。

注記

で組織の証跡を作成または更新するとAWS CLIを使用する必要があります。AWS CLIプロファイルに、十分なアクセス許可を付与します。

次の例では、すべてのリージョンから my-bucket という既存のバケットにログを配信する組織の証跡を作成します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail --is-multi-region-trail

証跡がすべてのリージョンに存在することを確認するために、IsOrganizationTrailおよびIsMultiRegionTrailパラメーターはどちらもtrue:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }
注記

を実行start-logging証跡のログ記録を開始するにはコマンドを使用します。詳細については、「証跡のログ記録の停止と開始」を参照してください。

単一リージョンの証跡としての組織の証跡の作成

次のコマンドは、イベントのみを記録する組織の証跡を作成します。AWSリージョン。単一リージョンの証跡とも呼ばれます。-AWSイベントが記録されるリージョンは、AWS CLI。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail

詳細については、「CloudTrail 証跡の命名要件」を参照してください。

サンプル出力:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }

デフォルトでは、create-trailコマンドは、ログファイルの検証を有効にしない単一リージョンの証跡を作成します。

注記

を実行start-logging証跡のログ記録を開始するにはコマンドを使用します。

実行中update-trail組織の証跡を更新する

以下のコマンドを実行できます。update-trailコマンドを使用して、組織の証跡の構成設定を変更するか、単一のAWSアカウントを組織全体に適用します。あなたが実行できることを覚えておいてくださいupdate-trailコマンドは、証跡が作成されたリージョンからのみ使用できます。

注記

を使用する場合AWS CLIまたは 1 つのAWSSDK を使用して証跡を更新する場合は、証跡のバケットポリシーが最新の状態に保たれていることを確認します。詳細については、「で組織の証跡を作成しますAWS Command Line Interface」を参照してください。

で組織の証跡を作成または更新するとAWS CLIを使用する必要があります。AWS CLIプロファイルに、十分なアクセス許可を付与します。

既存の証跡を組織に適用する

既存の証跡を変更し、単一の証跡ではなく組織にも適用されるようにするにはAWSアカウントで、--is-organization-trail次の例に示すように、[] オプションを使用します。

aws cloudtrail update-trail --name my-trail --is-organization-trail

証跡が組織に適用されるようになったことを確認するために、IsOrganizationTrailパラメーターの値はtrue

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }

前の例では、証跡がすべてのリージョンに適用されるように構成されています ("IsMultiRegionTrail": true). 1 つのリージョンにのみ適用された軌跡は、"IsMultiRegionTrail": false出力の内容は以下のとおりです。

1 つのリージョンに適用される組織の証跡を変換してすべてのリージョンに適用

既存の組織の証跡を変更し、すべてのリージョンに適用されるようにするには、--is-multi-region-trail次の例に示すように、オプションを使用します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、IsMultiRegionTrailパラメーターの値はtrue

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }