AWS CloudTrail
ユーザーガイド (Version 1.0)

証跡を複数作成する

CloudTrail ログファイルは、AWS アカウント内でのオペレーションやセキュリティに関する問題をトラブルシューティングするために使用できます。ユーザーの種類ごとに複数の証跡を作成すれば、それらのユーザーが独自の証跡を作成し、管理できるようになります。証跡のログファイルの配信先としては、個別の S3 バケットか、共有の S3 バケットを設定できます。

注記

複数の認跡の作成では、追加コストが発生します。詳細については、「AWS CloudTrail 料金表」を参照してください。

たとえば、次のような要件に応じて、ユーザーごとの証跡を作成できます。

  • セキュリティ管理者が 欧州 (アイルランド) リージョン の証跡を作成し、KMS のログファイル暗号化を設定できるようにする。この証跡では、欧州 (アイルランド) リージョン の S3 バケットにログファイルを配信する。

  • IT 監査者が 欧州 (アイルランド) リージョン の証跡を作成し、CloudTrail からの配信以降にログファイルが変更されていないことを確認するためのログファイル整合性検証を設定できるようにする。この証跡では、欧州 (フランクフルト) リージョン の S3 バケットにログファイルを配信するよう設定する。

  • 開発者が 欧州 (フランクフルト) リージョン の証跡を作成し、特定の API アクティビティについて通知を受け取るための CloudWatch アラームを設定できるようにする。この証跡では、ログファイルの整合性確認用に設定された証跡と同じ S3 バケットを共有する。

  • もう 1 人の開発者が 欧州 (フランクフルト) リージョン の証跡を作成し、SNS を設定できるようにする。ログファイルは、欧州 (フランクフルト) リージョン の個別の S3 バケットに配信する。

次の図は、この例を説明したものです。


            複数の証跡のログファイル配信の例

注記

証跡はリージョンごとに最大 5 つ作成できます。すべてのリージョンのアクティビティをログに記録する証跡は、リージョンごとに 1 つの証跡としてカウントされます。

リソースレベルのアクセス許可を使用して、ユーザーが CloudTrail に対して実行できるオペレーションを管理することもできます。

たとえば、あるユーザーに証跡のアクティビティ表示権限を付与しながらも、ログ記録の開始権限や停止権限は制限するといったことが可能です。また、証跡の作成や削除を行えるフル権限は別のユーザーに付与するといったことも可能です。これにより、証跡とユーザーアクセスを詳細に制御することができます。

リソースレベルのアクセス許可の詳細については、例: 特定の証跡に対するアクションのポリシーの作成と適用 を参照してください。

複数の証跡の使用に関する詳細については、以下の関連リソースを参照してください。