AWS CloudTrail
ユーザーガイド (Version 1.0)

組織の証跡の作成を準備する

組織の証跡を作成する前に、自分の組織とマスターアカウントの両方が証跡作成用に正しく設定されていることを確認する必要があります。

  • 証跡を作成する前に、組織ですべての機能を有効にしておく必要があります。詳細については、「組織内のすべての機能の有効化」を参照してください。

  • マスターアカウントには、AWSServiceRoleForOrganizations ロールが必要です。このロールは組織の作成時に 組織 によって自動的に作成され、CloudTrail が組織のイベントを記録するために必要となります。詳細については、「組織 およびサービスにリンクされたロール」を参照してください。

  • マスターアカウントで組織の証跡を作成するために使用される IAM ユーザーまたはロールには、組織の証跡を作成するための十分なアクセス許可が必要です。最低でも、組織の証跡を作成するには、AWSCloudTrailFullAccess ポリシーまたは同等のアクセス許可を適用する必要があります。また、IAM と 組織 には、サービスリンクのロールを作成し、信頼されたアクセスを有効にするための十分なアクセス許可が必要です。次のポリシー例は、これらの最低限必要なアクセス許可を示しています。

    注記

    AWSCloudTrailFullAccess ポリシーは、お客様の AWS アカウントで広く共有することを意図したものではありません。CloudTrail によって収集される情報は機密性が高いため、これらのポリシーは AWS アカウントの管理者に制限する必要があります。このロールを持つユーザーは、AWS アカウントの最も機密かつ重要な監査機能を無効にしたり、再設定したりすることができます。このため、このポリシーへのアクセスは、厳密に管理および監視する必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }
  • AWS CLI または CloudTrail API を使用して組織の証跡を作成する場合は、組織 で CloudTrail の信頼できるアクセスを有効にし、許可するポリシーで Amazon S3 バケットを手動で作成する必要があります 組織の証跡を記録します。詳細については、「AWS Command Line Interface による組織の証跡の作成」を参照してください。

  • 以下の例に示すように、既存の IAM ロールを使用して組織の証跡のモニタリングを Amazon CloudWatch Logs に追加する場合は、IAM ロールを手動で変更して、メンバーアカウントに CloudWatch Logs をマスターアカウントの CloudWatch Logs グループに配信できるようにする必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }

    CloudTrail と Amazon CloudWatch Logs の詳細については、「Amazon CloudWatch Logs を使用して CloudTrail のログファイルをモニタリングする」をご覧ください。さらに、組織の証跡での経験を可能にすることを決定する前に、CloudWatch Logs の制限とサービスの価格設定に関する考慮事項を検討します。詳細については、「CloudWatch Logs の制限」と「Amazon CloudWatch Pricing」を参照してください。

  • メンバーアカウントの特定の Amazon S3 バケットまたは AWS Lambda 関数について組織内のデータイベントを記録する場合は、それらの各リソースの Amazon リソースネーム (ARN) のリストを収集します。証跡を作成するときに、メンバーアカウントのリソースが CloudTrail コンソールに表示されません。マスターアカウントの Amazon S3 および Lambda 関数のみ表示できます。同様に、コマンドラインで組織の証跡を作成または更新するときに特定のメンバーリソースを追加する場合は、それらのリソースの ARN が必要になります。

    注記

    データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金表」を参照してください。

組織の証跡を作成する前に、マスターアカウントとメンバーアカウントにすでに存在する証跡の数を確認することも検討する必要があります。CloudTrail は、各リージョンに作成できる証跡の数を制限します。マスターアカウントで組織の証跡を作成するリージョンでは、この制限を超えることはできません。ただし、メンバーアカウントがリージョン内の証跡の上限に達した場合でも、証跡はメンバーアカウントに作成されます。どのリージョンでも最初の証跡は無料ですが、追加の証跡には料金がかかります。組織の証跡の潜在的なコストを削減するには、マスターアカウントとメンバーアカウントの不要な証跡を削除することを検討してください。CloudTrail の料金表の詳細については、「AWS CloudTrail 料金表」を参照してください。