組織のイベントデータストアについて - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織のイベントデータストアについて

で組織を作成した場合は AWS Organizations、その組織 AWS アカウント 内のすべての のすべてのイベントをログに記録する組織イベントデータストアを作成できます。組織のイベントデータストアは AWS リージョン、すべての 、または現在のリージョンに適用できます。組織のイベントデータストアを使用して、 AWS外からイベントを収集することはできません。

組織のイベントデータストアは、管理アカウントまたは委任された管理者アカウントを使用して作成できます。委任された管理者が組織のイベントデータストアを作成しても、組織のイベントデータストアは組織の管理アカウントに存在します。これは、管理アカウントがすべての組織リソースの所有権を保持するためです。

組織の管理アカウントは、アカウントレベルのイベントデータストアを更新して組織に適用できます。

組織のイベントデータストアが組織への適用として指定された場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。デフォルトでは、メンバーアカウントは組織のイベントデータストアにアクセスできず、組織のイベントデータストアに対してクエリを実行することもできません。

次の表は、 AWS Organizations 組織内の管理アカウントと委任された管理者アカウントの機能を示しています。

機能 管理アカウント 委任された管理者アカウント

委任された管理者アカウントを登録または削除する。

あり

なし

イベントまたは AWS Config 設定項目の組織 AWS CloudTrail イベントデータストアを作成します。

はい

あり

組織のイベントデータストアでの Insights の有効化。

あり

なし

組織のイベントデータストアの更新。

あり

あり 1

組織のイベントデータストアで Lake クエリフェデレーションを有効にする。2

はい

あり

組織のイベントデータストアでの Lake クエリフェデレーションの無効化。

はい

あり

組織のイベントデータストアの削除。

はい

あり

イベントデータストアに証跡イベントをコピーする。

あり

なし

組織のイベントデータストアでのクエリ実行。

はい

あり

組織のイベントデータストアの CloudTrail Lake ダッシュボードを表示します。

はい

あり

1組織のイベントデータストアをアカウントレベルのイベントデータストアに変換したり、アカウントレベルのイベントデータストアを組織のイベントデータストアに変換したりできるのは、管理アカウントのみです。組織のイベントデータストアは管理アカウントにのみ存在するため、委任された管理者はこれらのアクションを実行できません。組織のイベントデータストアがアカウントレベルのイベントデータストアに変換されると、管理アカウントのみがイベントデータストアにアクセスできます。同様に、管理アカウントのアカウントレベルのイベントデータストアのみを組織のイベントデータストアに変換できます。

2組織のイベントデータストアでフェデレーションを有効にできるのは、委任された管理者アカウントの 1 つ、または管理アカウントだけです。他の委任管理者アカウントは、Lake Formation のデータ共有機能を使用すると、情報をクエリし共有することが可能です。組織の管理アカウントだけでなく委任された管理者アカウントも、フェデレーションを無効化することができます。

組織のイベントデータストアを作成する

組織の管理アカウントまたは委任された管理者アカウントは、組織イベントデータストアを作成して、 CloudTrail イベント (管理イベント、データイベント) または AWS Config 設定項目を収集できます。

注記

証跡イベントをイベントデータストアにコピーできるのは、組織の管理アカウントのみです。

CloudTrail console
コンソールを使用して組織のイベントデータストアを作成するには
  1. CloudTrail イベント用のイベントデータストアの作成手順の手順に従って、 CloudTrail 管理イベントまたはデータイベント用の組織イベントデータストアを作成します。

    または

    AWS Config 「設定項目用のイベントデータストアの作成」の手順に従って、設定項目用の AWS Config 組織のイベントデータストアを作成します。

  2. 「イベントの選択」ページで、組織 内のすべてのアカウントに対して有効化を選択します。

AWS CLI

組織のイベントデータストアを作成するには、 create-event-data-store コマンドを実行し、 --organization-enabledオプションを含めます。

次のコマンド例では AWS CLI create-event-data-store、すべての管理イベントを収集する組織イベントデータストアを作成します。はデフォルトで管理イベントを CloudTrail ログに記録するため、イベントデータストアがすべての管理イベントをログに記録し、データイベントを収集していない場合は、高度なイベントセレクタを指定する必要はありません。

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

以下に、応答の例を示します。

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }

次のコマンド例では AWS CLI create-event-data-store、設定 AWS Config 項目config-items-org-edsを収集する という名前の組織イベントデータストアを作成します。設定項目を収集するには、アドバンストイベントセレクタConfigurationItemeventCategoryフィールドが に等しくなるように指定します。

aws cloudtrail create-event-data-store --name config-items-org-eds \ --organization-enabled \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'

アカウントレベルのイベントデータストアを組織に適用する

組織の管理アカウントは、アカウントレベルのイベントデータストアを変換して組織に適用できます。

CloudTrail console
コンソールを使用してアカウントレベルのイベントデータストアを更新するには
  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. 更新するイベントデータストアを選択します。このアクションで、イベントデータストアの詳細ページが開きます。

  4. [General details] で、[Edit] を選択します。

  5. 組織 内のすべてのアカウントに対して を有効にする を選択します。

  6. [変更の保存] を選択します。

イベントデータストアの更新の詳細については、「」を参照してくださいコンソールでイベントデータストアを更新する

AWS CLI

アカウントレベルのイベントデータストアを更新して組織に適用するには、 update-event-data-store コマンドを実行し、 --organization-enabledオプションを含めます。

aws cloudtrail update-event-data-store --region us-east-1 \ --organization-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

以下も参照してください。