組織の証跡の作成を準備する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の証跡の作成を準備する

組織の証跡を作成する前に、組織の管理アカウントまたは委任された管理者アカウントが証跡の作成用に正しく設定されていることを確認してください。

  • 証跡を作成する前に、組織ですべての機能を有効にしておく必要があります。詳細については、「組織内のすべての機能の有効化」を参照してください。

  • 管理アカウントには AWSServiceRoleForOrganizations ロールが必要です。このロールは、Organizations の作成時に組織によって自動的に作成され、 CloudTrail 組織のイベントを記録するために必要です。詳細については、「Organizations およびサービスにリンクされたロール」を参照してください。

  • 管理アカウントまたは委任された管理者アカウントで組織の証跡を作成するユーザーまたはロールには、組織の証跡を作成するのに十分なアクセス許可が必要です。少なくとも、AWSCloudTrail_FullAccess ポリシーまたは同等のポリシーをそのロールまたはユーザーに適用する必要があります。また、IAM と Organizations には、サービスリンクのロールを作成し、信頼されたアクセスを有効にするための十分なアクセス許可が必要です。 CloudTrail コンソールを使用して組織トレイル用の新しい S3 バケットを作成することを選択した場合、 ポリシーには以下も含める必要があります。s3:PutEncryptionConfiguration アクション。デフォルトではバケットのサーバー側の暗号化が有効になっているからです。次のポリシー例は、これらの最低限必要なアクセス許可を示しています。

    注記

    AWSCloudTrail_FullAccessポリシーを社内全体で広く共有すべきではありません。 AWS アカウント CloudTrailで収集される情報は機密性が非常に高いため、 AWS アカウント 管理者に限定すべきです。このロールを持つユーザーは、 AWS アカウントの最も機密かつ重要な監査機能を無効にしたり、再設定したりすることができます。このため、このポリシーへのアクセスは、厳密に管理および監視する必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "s3:PutEncryptionConfiguration" ], "Resource": "*" } ] }
  • AWS CLI または CloudTrail API を使用してOrganizations 記録を作成するには、 CloudTrail 組織内の信頼できるアクセスを有効にする必要があります。また、組織証跡のログ記録を許可するポリシーを使用して Amazon S3 バケットを手動で作成する必要があります。詳細については、「以下の組織向けにトレイルを作成する AWS Command Line Interface」を参照してください。

  • 既存の IAM ロールを使用して Amazon CloudWatch Logs に組織記録のモニタリングを追加するには、次の例に示すように、 CloudWatch CloudWatch メンバーアカウントのログを管理アカウントのロググループに配信できるように IAM ロールを手動で変更する必要があります。

    注記

    自分のアカウントにある IAM ロールと CloudWatch Logs ロググループを使用する必要があります。別のアカウントが所有する IAM ロールや CloudWatch Logs ロググループは使用できません。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }

    CloudTrail と Amazon CloudWatch ログインの詳細については、こちらをご覧くださいAmazon CloudTrail CloudWatch ログによるログファイルのモニタリング。さらに、組織トレイルのエクスペリエンスを有効にするかどうかを決定する前に、 CloudWatch ログの制限とサービスの料金に関する考慮事項を検討してください。詳細については、「CloudWatch ログの制限と Amazon CloudWatch 料金表」を参照してください。

  • メンバーアカウントの特定のリソースについて組織内のデータイベントを記録するには、それらの各リソースの Amazon リソースネーム (ARN) のリストを準備します。証跡を作成しても、 CloudTrail メンバーアカウントのリソースはコンソールに表示されません。S3 バケットなど、データイベントの収集がサポートされている管理アカウントのリソースを参照できます。同様に、コマンドラインで組織の証跡を作成または更新するときに特定のメンバーリソースを追加する場合は、それらのリソースの ARN が必要です。

    注記

    データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、「AWS CloudTrail 料金表」を参照してください。

また、組織の証跡を作成する前に、管理アカウントとメンバーアカウントにすでに存在する証跡の数を確認することも検討してください。 CloudTrail 各地域で作成できる証跡の数を制限します。管理アカウントで組織の証跡を作成するリージョンでは、この制限を超えることはできません。ただし、メンバーアカウントがリージョン内の証跡の上限に達した場合でも、証跡はメンバーアカウントに作成されます。どのリージョンでも管理イベントの最初の証跡は無料ですが、追加の証跡には料金がかかります。組織の証跡の潜在的なコストを削減するには、管理アカウントとメンバーアカウントの不要な証跡を削除することを検討してください。料金について詳しくは、「 CloudTrail AWS CloudTrail 料金表」を参照してください。

組織の証跡におけるセキュリティのベストプラクティス

セキュリティのベストプラクティスとして、組織証跡で使用するリソースポリシー (S3 バケット、KMS キー、SNS トピックなど) に aws:SourceArn 条件キーを追加することが奨励されています。aws:SourceArn の値は、組織の証跡 ARN (または、複数の証跡のログを保存するために同じ S3 バケットなど、複数の証跡に同じリソースを使用している場合は ARN) です。これにより、S3 バケットなどのリソースは、特定の証跡に関連付けられているデータのみを受け付けます。証跡 ARN は、管理アカウントのアカウント ID を使用する必要があります。次のポリシースニペットは、複数の証跡がリソースを使用している例を示しています。

"Condition": { "StringEquals": { "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"] } }

リソースポリシーに条件キーを追加する方法については、以下を参照してください。