翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織の証跡の作成を準備する
組織の証跡を作成する前に、組織の管理アカウントまたは委任された管理者アカウントが証跡の作成用に正しく設定されていることを確認してください。
-
証跡を作成する前に、組織ですべての機能を有効にしておく必要があります。詳細については、「組織内のすべての機能の有効化」を参照してください。
-
管理アカウントには AWSServiceRoleForOrganizations ロールが必要です。このロールは、組織の作成時に Organizations によって自動的に作成され、 が組織のイベント CloudTrail をログに記録するために必要です。詳細については、「Organizations およびサービスにリンクされたロール」を参照してください。
-
管理アカウントまたは委任された管理者アカウントで組織の証跡を作成するユーザーまたはロールには、組織の証跡を作成するのに十分なアクセス許可が必要です。少なくとも、AWSCloudTrail_FullAccess ポリシーまたは同等のポリシーをそのロールまたはユーザーに適用する必要があります。また、サービスにリンクされたロールを作成し、信頼されたアクセスを有効にするには、 と IAM Organizations に十分なアクセス許可が必要です。 CloudTrail コンソールを使用して組織の証跡用に新しい S3 バケットを作成する場合は、 ポリシーには も含める必要があります。
s3:PutEncryptionConfigurationデフォルトでは、バケットに対してサーバー側の暗号化が有効になっているため、 アクション。次のポリシー例は、これらの最低限必要なアクセス許可を示しています。注記
AWSCloudTrail_FullAccess ポリシーを 間で広く共有しないでください AWS アカウント。代わりに、 AWS アカウント によって収集される情報の機密性が高いため、管理者に制限する必要があります CloudTrail。このロールを持つユーザーは、 AWS アカウントの最も機密かつ重要な監査機能を無効にしたり、再設定したりすることができます。このため、このポリシーへのアクセスは、厳密に管理および監視する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "s3:PutEncryptionConfiguration" ], "Resource": "*" } ] } -
AWS CLI または CloudTrail APIs を使用して組織の証跡を作成するには、Organizations CloudTrail で の信頼されたアクセスを有効にし、組織の証跡のログ記録を許可するポリシーを使用して Amazon S3 バケットを手動で作成する必要があります。詳細については、「を使用して組織の証跡を作成する AWS CLI」を参照してください。
-
既存のIAMロールを使用して組織の証跡のモニタリングを Amazon CloudWatch Logs に追加するには、次の例に示すように、メンバーアカウントの CloudWatch ログを管理アカウントの CloudWatch ロググループに配信できるようにIAMロールを手動で変更する必要があります。
注記
自分のアカウントに存在する IAMロールと CloudWatch ロググループを使用する必要があります。別のアカウントが所有する IAMロールまたは CloudWatch Logs ロググループを使用することはできません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }CloudTrail および Amazon CloudWatch Logs の詳細については、「」を参照してくださいAmazon CloudWatch Logs CloudTrail によるログファイルのモニタリング。さらに、組織の証跡でエクスペリエンスを有効にすることを決定する前に、 CloudWatch ログの制限とサービスの料金に関する考慮事項を考慮してください。詳細については、CloudWatch 「ログの制限」と「Amazon の料金」を参照してください。 CloudWatch
-
メンバーアカウントの特定のリソースのデータイベントを組織の証跡に記録するには、それらのリソースごとに Amazon リソースネーム (ARNs) のリストを用意します。証跡の作成時にメンバーアカウントのリソースは CloudTrail コンソールに表示されません。S3 バケットなど、データイベント収集がサポートされている管理アカウントのリソースを参照できます。同様に、コマンドラインで組織の証跡を作成または更新するときに特定のメンバーリソースを追加する場合は、それらのリソースARNsに が必要です。
注記
データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金
」を参照してください。
また、組織の trail. を作成する前に、管理アカウントとメンバーアカウントに既に存在する証跡の数を確認することも検討する必要があります。各リージョンで作成できる証跡の数 CloudTrail を制限します。管理アカウントで組織の証跡を作成するリージョンでは、この制限を超えることはできません。ただし、メンバーアカウントがリージョン内の証跡の上限に達した場合でも、証跡はメンバーアカウントに作成されます。どのリージョンでも管理イベントの最初の証跡は無料ですが、追加の証跡には料金がかかります。組織の証跡の潜在的なコストを削減するには、管理アカウントとメンバーアカウントの不要な証跡を削除することを検討してください。 CloudTrail 料金の詳細については、「 の料金AWS CloudTrail
組織の証跡におけるセキュリティのベストプラクティス
セキュリティのベストプラクティスとして、組織の証跡で使用するリソースポリシー (S3 バケット、キー、SNSトピックのポリシーなど) に aws:SourceArn条件KMSキーを追加することをお勧めします。の値は組織の証跡です ARN (複数の証跡のログを保存するために同じ S3 バケットなど、複数の証跡に同じリソースARNsを使用している場合aws:SourceArnは )。これにより、S3 バケットなどのリソースは、特定の証跡に関連付けられているデータのみを受け付けます。証跡ARNでは、管理アカウントのアカウント ID を使用する必要があります。次のポリシースニペットは、複数の証跡がリソースを使用している例を示しています。
"Condition": { "StringEquals": { "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"] } }
リソースポリシーに条件キーを追加する方法については、以下を参照してください。
