組織の証跡を作成する準備 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の証跡を作成する準備

組織の証跡を作成する前に、自分の組織と管理アカウントの両方が証跡作成用に正しく設定されていることを確認してください。

  • 証跡を作成する前に、組織ですべての機能を有効にしておく必要があります。詳細については、「組織内のすべての機能の有効化」を参照してください。

  • 管理アカウントにはAWSサービスロールフォロールガイゼーションロール。このロールはOrganizations によって自動的に作成され、CloudTrail が組織のイベントを記録するために必要となります。詳細については、「」を参照してください。Organizations とサービスにリンクされたロール

  • 管理アカウントで組織の証跡を作成するために使用される IAM ユーザーまたはロールには、組織の証跡を作成するための十分なアクセス許可が必要です。少なくとも、組織の証跡を作成するには、FullAccessポリシーまたは同等のアクセス許可が適用されます。また、IAM と Organizations には、サービスリンクのロールを作成し、信頼されたアクセスを有効にするための十分なアクセス許可が必要です。次のポリシー例は、これらの最低限必要なアクセス許可を示しています。

    注記

    -FullAccessポリシーは、ユーザーのAWSアカウント. 代わりに、それはAWSCloudTrail によって収集される情報は機密性が高いため、アカウントの管理者を対象としています。このロールを持つユーザーは、最も機密かつ重要な監査機能を無効にしたり、再設定したりすることができます。AWSアカウント. このため、このポリシーへのアクセスは、厳密に管理および監視する必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }
  • を使用するにはAWS CLIまたは CloudTrail API を使用して組織の証跡を作成するには、Organizations の CloudTrail に対する信頼できるアクセスを有効にし、許可するポリシーで Amazon S3 バケットを手動で作成する必要があります組織の証跡を記録します。詳細については、「で組織の証跡を作成しますAWS Command Line Interface」を参照してください。

  • 既存の IAM ロールを使用して Amazon CloudWatch Logs に組織の証跡のモニタリングを追加するには、以下の例に示すように、IAM ロールを手動で変更して、メンバーアカウントの CloudWatch Logs を管理アカウントの CloudWatch Logs グループに配信できるようにする必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }

    CloudTrail ログと Amazon CloudWatch Logs の詳細については、Amazon CloudWatch Logs を使用した CloudTrail ログファイルのモニタリング。さらに、CloudWatch Logs 制限や、サービスの価格設定に関する考慮事項を検討してから、組織の証跡での経験を可能にすることを決定してください。詳細については、「」を参照してください。CloudWatch Logs の制限およびAmazon CloudWatch の料金

  • 特定の Amazon S3 バケットのデータイベントを組織証跡に記録するには、S3 オブジェクトレベルの API アクティビティをAWS Outpostsオブジェクト、マネージドブロックチェーンノード、Lambda アクセスポイント上の S3 オブジェクト、AWS Lambdaメンバーアカウントの関数には、それらの各リソースの Amazon リソースネーム (ARN) のリストが用意されています。メンバーアカウントリソースは、証跡の作成時に CloudTrail コンソールに表示されません。S3 バケットなど、データイベント収集がサポートされる管理アカウントのリソースを参照できます。同様に、コマンドラインで組織の証跡を作成または更新するときに特定のメンバーリソースを追加する場合は、それらのリソースの ARN が必要になります。

    注記

    データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、AWS CloudTrail料金

組織の証跡を作成する前に、管理アカウントとメンバーアカウントにすでに存在する証跡の数を確認することも検討する必要があります。CloudTrail では、各リージョンで作成できる証跡の数が制限されます。管理アカウントで組織の証跡を作成するリージョンでは、この制限を超えることはできません。ただし、メンバーアカウントがリージョン内の証跡の上限に達した場合でも、証跡はメンバーアカウントに作成されます。どのリージョンでも最初の証跡は無料ですが、追加の証跡には料金がかかります。組織の証跡の潜在的なコストを削減するには、管理アカウントとメンバーアカウントの不要な証跡を削除することを検討してください。CloudTrail 料金の詳細については、AWS CloudTrail料金