組織の証跡に関する問題のトラブルシューティング
このセクションでは、組織の証跡に関する問題のトラブルシューティング方法について説明します。
CloudTrail がイベントを配信しない
CloudTrail が CloudTrail ログファイルを Amazon S3 バケットに配信しない場合
S3 バケットに問題があるかどうかを確認します。
-
CloudTrail コンソールで、証跡の詳細ページを確認します。S3 バケットに問題がある場合は、詳細ページに S3 バケットへの配信が失敗したことを示す警告が表示されます。
-
AWS CLI から、get-trail-status コマンドを実行します。障害が発生した場合、コマンド出力には
LatestDeliveryError
フィールドが含まれ、このフィールドに、CloudTrail が指定されたバケットにログファイルを配信しようと試みたときに発生した Amazon S3 エラーが表示されます。このエラーは、送信先 S3 バケットに問題がある場合にのみ発生し、タイムアウトしたリクエストでは発生しません。問題を解決するには、CloudTrail がバケットに書き込むことができるようにバケットポリシーを修正するか、新しいバケットを作成してからupdate-trail
を呼び出して新しいバケットを指定します。組織バケットポリシーの詳細については、「Create or update an Amazon S3 bucket to use to store the log files for an organization trail」を参照してください。
注記
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
CloudTrail が CloudWatch Logs にログを配信しない場合
CloudWatch Logs ロールポリシーの設定に問題があるかどうかを確認します。
-
CloudTrail コンソールで、証跡の詳細ページを確認します。CloudWatch Logs に問題がある場合、詳細ページには CloudWatch Logs の配信が失敗したことを示す警告が表示されます。
-
AWS CLI から、get-trail-status コマンドを実行します。障害が発生した場合、コマンド出力には
LatestCloudWatchLogsDeliveryError
フィールドが含まれ、このフィールドに、CloudWatch Logs にログを配信しようとしたときに CloudTrail で発生した CloudWatch Logs エラーが表示されます。問題を解決するには、CloudWatch Logs ロールポリシーを修正します。CloudWatch Logs ロールポリシーに関する情報については、「CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント」を参照してください。
組織の証跡にメンバーアカウントのアクティビティが表示されない場合
組織の証跡にメンバーアカウントのアクティビティが表示されない場合は、以下を確認してください。
-
ホームリージョンの証跡をチェックして、それがオプトインリージョンであるかどうかを確認します。
ほとんどの AWS リージョンは AWS アカウントでデフォルトで有効になっていますが、一部のリージョン (オプトインリージョンとも呼ばれる) は手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、「AWS Account Management Reference Guide」の「Considerations before enabling and disabling Regions」を参照してください。CloudTrail がサポートするリージョンのリストについては、「CloudTrail がサポートされているリージョン」を参照してください。
組織の証跡がマルチリージョンであり、ホームリージョンがオプトインリージョンである場合、マルチリージョン証跡が作成された AWS リージョンをオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、アカウントで欧州 (スペイン) リージョンを有効にしているメンバーアカウントのみが、そのアカウントアクティビティを組織の証跡に送信します。問題を解決するには、組織内の各メンバーアカウントのオプトインリージョンを有効にします。オプトインリージョンの有効化に関する情報については、「AWS Account Management Reference Guide」の「Enable or disable a Region in your organization」を参照してください。
-
組織のリソースベースのポリシーが CloudTrail サービスにリンクされたロールポリシーと競合していないかどうかを確認します。
CloudTrail は、AWSServiceRoleForCloudTrail という名前のサービスにリンクされたロールを使用して、組織の証跡をサポートします。このサービスにリンクされたロールにより、CloudTrail は
organizations:DescribeOrganization
などの組織リソースに対してアクションを実行することができます。組織のリソースベースのポリシーが、サービスにリンクされたロールポリシーで許可されているアクションを拒否した場合、CloudTrail はそのアクションがサービスにリンクされたロールポリシーで許可されている場合でもアクションを実行できません。問題を解決するには、サービスにリンクされたロールポリシーで許可されているアクションを拒否しないように、組織のリソースベースのポリシーを修正します。
CloudTrail が組織内のメンバーアカウントに Amazon SNS 通知を送信しない
AWS Organizations 組織の証跡を持つメンバーアカウントが Amazon SNS 通知を送信しない場合、SNS トピックポリシーの設定に問題がある可能性があります。CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織の証跡を作成します。例えば、組織の証跡の SNS トピックには、すべてのメンバーアカウント ID は含まれていません。SNS トピックポリシーが正しくない場合、認証エラーが発生します。
証跡の SNS トピックポリシーに認証失敗があるかどうかを確認する方法
-
CloudTrail コンソールで、証跡の詳細ページを確認します。認証に失敗した場合、詳細ページには警告
SNS authorization failed
が表示され、SNS トピックポリシーの修正を求めます。 -
AWS CLI から、get-trail-status コマンドを実行します。認証に失敗した場合、コマンド出力には
AuthorizationError
の値を持つLastNotificationError
フィールドが含まれます。問題を解決するには、Amazon SNS トピックポリシーを修正します。Amazon SNS トピックポリシーの詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。
Amazon SNS トピックとこれらのトピックの購読に関する情報については、「Amazon Simple Notification Service Developer Guide」の「Amazon SNS の使用開始」を参照してください。