AWS CloudTrail
ユーザーガイド (Version 1.0)

CloudTrail のユーザーアクセス権限のコントロール

AWS CloudTrail を AWS Identity and Access Management (IAM) に統合することで、CloudTrail へのアクセスと、CloudTrail に必要な他の AWS リソース (Amazon S3 バケットや Amazon Simple Notification Service (Amazon SNS) トピックなど) へのアクセスをコントロールできます。AWS Identity and Access Management を使用して、AWS CloudTrail の証跡の作成、設定、または削除、ログ記録の開始と停止、ログ情報を含むバケットへのアクセスが可能な AWS ユーザーをコントロールすることができます。

アカウントでルートユーザーとして CloudTrail を使用する場合、証跡の作成、ログの読み込みなど、証跡に関連するすべてのタスクを実行できます。組織内の他の人員が、CloudTrail で作業する必要がある場合は、それらの人員に IAM ユーザーを作成し、個別にユーザー名とパスワードを与えることができます。この操作を行うと、Amazon S3 など、CloudTrail やアクセスする必要のある他の AWSAWSサービスで作業するためのアクセス権限をユーザーに与える必要があります。(デフォルトでは、IAM ユーザーはアクセス権限を持たず、AWS でアクションを実行することはできません。)

重要

AWS で毎日の作業を実行するために、ルートアカウントの認証情報を使用しないことをお勧めします。代わりに、適切なアクセス権限を持つ IAM 管理者グループを作成し、管理者タスクを行う組織内の人員 (お客様自身を含む) に IAM ユーザーを作成し、管理グループに追加することをお勧めします。詳細については、IAM ユーザーガイド ガイドの「IAM のベストプラクティス」を参照してください。

次のトピックは、アクセス許可、ポリシー、および CloudTrail セキュリティの理解にも役立つかもしれません。