CloudTrail 証跡の使用

証跡は AWS アクティビティの記録をキャプチャし、これらのイベントを Amazon S3 バケットに配信および保存し、オプションで CloudWatch Logs と Amazon EventBridgeに配信します。

証跡を作成 CloudTrail することで、 から S3 バケットに継続的な管理イベントのコピーを 1 つ無料で配信できますが、Amazon S3 ストレージ料金が発生します。 CloudTrail 料金の詳細については、「 の料金AWS CloudTrail」を参照してください。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金」を参照してください。

のマルチリージョン証跡とシングルリージョン証跡の両方を作成できます AWS アカウント。

マルチリージョンの証跡

マルチリージョン証跡を作成すると、 は作業しているAWS パーティション AWS リージョン のすべての にイベント CloudTrail を記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョンの証跡を作成した後に AWS リージョン が追加されると、その新しいリージョンが自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。 CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンです。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、「コンソールで証跡を作成する」および「1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用」を参照してください。

単一リージョンの証跡

単一リージョンの証跡を作成すると、 はそのリージョンのイベントのみ CloudTrail を記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルを配信します。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加の単一の証跡を作成する場合は、それらの証跡に CloudTrail イベントログファイルを同じ S3 バケットまたは個別のバケットに配信させることができます。これは、 または を使用して証跡を作成する場合のデフォルトのオプションです AWS CLI CloudTrail API。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。

注記

どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。

で組織を作成した場合は AWS Organizations、その組織内のすべての AWS アカウントのすべてのイベントを記録する組織の証跡を作成できます。組織の証跡は、すべての AWS リージョン、または現在のリージョンに適用できます。組織の証跡は管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにアクセスできません。詳細については、「組織の証跡の作成」を参照してください。

トピック

• の証跡の作成 AWS アカウント
• 組織の証跡の作成
• 証跡の CloudTrail Insights イベントの表示
• Lake への CloudTrail証跡イベントのコピー
• CloudTrail ログファイルの取得と表示
• の Amazon SNS通知の設定 CloudTrail
• インターフェイスVPCエンドポイント AWS CloudTrail での の使用
• CloudTrail リソース、S3 バケット、およびKMSキーの命名要件
• AWS アカウント クロージャと証跡