翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織のイベントデータストアについて
で組織を作成した場合は AWS Organizations、その組織 AWS アカウント 内のすべての のすべてのイベントをログに記録する組織イベントデータストアを作成できます。組織のイベントデータストアは AWS リージョン、すべての 、または現在のリージョンに適用できます。組織のイベントデータストアを使用して、 AWS外からイベントを収集することはできません。
組織のイベントデータストアは、管理アカウントまたは委任された管理者アカウントを使用して作成できます。委任された管理者が組織のイベントデータストアを作成しても、組織のイベントデータストアは組織の管理アカウントに存在します。これは、管理アカウントがすべての組織リソースの所有権を保持するためです。
組織の管理アカウントは、アカウントレベルのイベントデータストアを更新して組織に適用できます。
組織のイベントデータストアが組織への適用として指定された場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。デフォルトでは、メンバーアカウントは組織のイベントデータストアにアクセスできず、組織のイベントデータストアに対してクエリを実行することもできません。
次の表は、 AWS Organizations 組織内の管理アカウントと委任された管理者アカウントの機能を示しています。
機能 | 管理アカウント | 委任された管理者アカウント |
---|---|---|
委任された管理者アカウントを登録または削除する。 |
あり |
なし |
イベントまたは AWS Config 設定項目の組織 AWS CloudTrail イベントデータストアを作成します。 |
はい |
あり |
組織のイベントデータストアでの Insights の有効化。 |
あり |
なし |
組織のイベントデータストアの更新。 |
あり |
あり 1 |
組織のイベントデータストアで Lake クエリフェデレーションを有効にする。2 |
はい |
あり |
組織のイベントデータストアでの Lake クエリフェデレーションの無効化。 |
はい |
あり |
組織のイベントデータストアの削除。 |
はい |
あり |
イベントデータストアに証跡イベントをコピーする。 |
あり |
なし |
組織のイベントデータストアでのクエリ実行。 |
はい |
あり |
組織のイベントデータストアの CloudTrail Lake ダッシュボードを表示します。 |
はい |
あり |
1組織のイベントデータストアをアカウントレベルのイベントデータストアに変換したり、アカウントレベルのイベントデータストアを組織のイベントデータストアに変換したりできるのは、管理アカウントのみです。組織のイベントデータストアは管理アカウントにのみ存在するため、委任された管理者はこれらのアクションを実行できません。組織のイベントデータストアがアカウントレベルのイベントデータストアに変換されると、管理アカウントのみがイベントデータストアにアクセスできます。同様に、管理アカウントのアカウントレベルのイベントデータストアのみを組織のイベントデータストアに変換できます。
2組織のイベントデータストアでフェデレーションを有効にできるのは、委任された管理者アカウントの 1 つ、または管理アカウントだけです。他の委任管理者アカウントは、Lake Formation のデータ共有機能を使用すると、情報をクエリし共有することが可能です。組織の管理アカウントだけでなく委任された管理者アカウントも、フェデレーションを無効化することができます。
組織のイベントデータストアを作成する
組織の管理アカウントまたは委任された管理者アカウントは、組織イベントデータストアを作成して、 CloudTrail イベント (管理イベント、データイベント) または AWS Config 設定項目を収集できます。
注記
証跡イベントをイベントデータストアにコピーできるのは、組織の管理アカウントのみです。
アカウントレベルのイベントデータストアを組織に適用する
組織の管理アカウントは、アカウントレベルのイベントデータストアを変換して組織に適用できます。