組織の証跡の作成 - AWS CloudTrail

組織の証跡の作成

AWS Organizations で組織を作成した場合、組織内のすべての AWS アカウントについて、すべてのイベントをログに記録する証跡を作成できます。これは、組織の証跡と呼ばれることもあります。

組織の管理アカウントは、新しい組織の証跡を作成する、または既存の組織の証跡を管理する委任された管理者を割り当てることができます。委任された管理者の追加の詳細については、「CloudTrail の委任された管理者を追加する」を参照してください。

組織の管理アカウントは、アカウントの既存の証跡を編集して組織に適用し、それを組織の証跡にすることができます。組織の証跡では、組織内の管理アカウントとすべてのメンバーアカウントのイベントが記録されます。AWS Organizations の詳細については、「組織の用語と概念」を参照してください。

注記

組織の証跡を作成するには、その組織の管理アカウントまたは委任された管理者アカウントを使用してサインインする必要があります。また、証跡を作成するには、管理アカウントもしくは委任された管理者アカウントのユーザーまたはロールに、十分なアクセス許可も必要です。十分なアクセス許可がない場合は、証跡を組織に適用するオプションは使用できません。

コンソールを使用して作成されたすべての組織の証跡は、組織内の各メンバーアカウントで有効になっている AWS リージョンからのイベントをログに記録するマルチリージョンの組織証跡です。組織内のすべての AWS パーティションで、イベントのログ記録を行うには、各パーティションに対してマルチリージョンの組織証跡を作成します。AWS CLI を使用して、単一リージョンまたはマルチリージョンの組織証跡を作成できます。単一リージョンの証跡を作成する場合は、証跡の AWS リージョン (ホームリージョンとも呼ばれる) 内のアクティビティのみがログに記録されます。

ほとんどの AWS リージョンは AWS アカウントでデフォルトで有効になっていますが、一部のリージョン (オプトインリージョンとも呼ばれる) は手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、「AWS Account Management Reference Guide」の「Considerations before enabling and disabling Regions」を参照してください。CloudTrail がサポートするリージョンのリストについては、「CloudTrail がサポートされているリージョン」を参照してください。

組織の証跡を作成すると、指定した名前の証跡のコピーが組織に属するすべてのアカウントに作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョンでない場合、各メンバーアカウントの組織証跡のホームリージョン内に証跡のコピーが作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョンである場合、そのリージョンを有効にしたメンバーアカウントの組織証跡のホームリージョン内に証跡のコピーが作成されます。

  • 組織の証跡がマルチリージョンで、証跡のホームリージョンオプトインリージョンでない場合、各メンバーアカウントで有効になっている各 AWS リージョンに対して証跡のコピーが作成されます。メンバーアカウントがオプトインリージョンを有効にすると、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンにマルチリージョン証跡のコピーが作成されます。

  • 組織の証跡がマルチリージョンであり、ホームリージョンがオプトインリージョンである場合、マルチリージョン証跡が作成された AWS リージョンをオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、アカウントで欧州 (スペイン) リージョンを有効にしているメンバーアカウントのみが、そのアカウントアクティビティを組織の証跡に送信します。

注記

CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織証跡を作成します。検証の失敗例を次に示します。

  • Amazon S3 バケットポリシーに誤りがある

  • Amazon SNS トピックポリシーに誤りがある

  • CloudWatch Logs ロググループに配信できない

  • KMS キーを使用して暗号化するアクセス許可が不十分

CloudTrail アクセス許可を持つメンバーアカウントは、CloudTrail コンソールで証跡の詳細ページを表示するか、AWS CLI get-trail-status コマンドを実行することで、組織証跡の検証の失敗を確認できます。

メンバーアカウントで CloudTrail のアクセス許可を持つユーザーは、AWS アカウントから AWS CloudTrail コンソールにログインする際、または describe-trails などの AWS CLI コマンドを実行する際に組織の証跡を表示できます。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、ログ記録するイベントのタイプの変更、または組織の証跡へのその他の変更を行うための十分なアクセス許可はありません。

コンソールで組織の証跡を作成したり、Organizations で CloudTrail を信頼されたサービスとして有効にすると、組織のメンバーアカウントでログ記録タスクを実行するためのサービスにリンクされたロールが作成されます。このロールは AWSServiceRoleForCloudTrail という名前で、CloudTrail が組織のイベントをログ記録するために必要です。AWS アカウントが組織に追加されると、その組織の証跡とサービスにリンクされたロールがその AWS アカウントに追加され、組織の証跡でアカウントのログ記録が自動的に開始します。AWS アカウントが組織から削除されると、組織の証跡とサービスにリンクされたロールは、その組織の一部ではなくなった AWS アカウントから削除されます。ただし、アカウントが削除される前に作成した削除されたアカウントのログファイルは、証跡用にログファイルが保存されている Amazon S3 バケットに残ります。

AWS Organizations 組織の管理アカウントで組織証跡が作成され、その後組織の管理アカウントから削除された場合、そのアカウントを使用して作成された組織証跡はすべて非組織証跡になります。

次の例では、組織の管理アカウント 111111111111 が、組織 o-exampleorgidMyOrganizationTrail という名前の証跡を作成します。証跡は、同じ Amazon S3 バケット内の組織内のすべてのアカウントのアクティビティを記録します。組織内のすべてのアカウントの証跡リストには MyOrganizationTrail が表示されますが、メンバーアカウントは組織の証跡を削除または変更することはできません。組織の証跡を変更または削除できるのは、管理アカウントまたは委任された管理者アカウントのみです。組織からメンバーアカウントを削除できるのは、管理アカウントのみです。同様に、デフォルトでは、管理アカウントのみが証跡用の Amazon S3 バケットとそれに含まれるログにアクセスできます。ログファイルの高レベルのバケット構造では、組織 ID で名前が付けられたフォルダと、組織内の各アカウントのアカウント ID で名前が付けられたサブフォルダが含まれます。各メンバーアカウントのイベントは、メンバーアカウント ID に対応するフォルダに記録されます。メンバーアカウント 444444444444 が組織から削除された場合、MyOrganizationTrail とサービスにリンクされたロールは AWS アカウント 444444444444 に表示されなくなり、組織の証跡にそのアカウントのイベントが記録されなくなります。ただし、444444444444 フォルダは Amazon S3 バケットに残り、組織からアカウントを削除する前にすべてのログが作成されます。

組織内のサンプル組織の概念的な概要。

この例では、管理アカウントで作成した証跡の ARN は aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail です。この ARN は、すべてのメンバーアカウントにおける証跡の ARN でもあります。

組織の証跡は多くの点で通常の証跡と似ています。組織に複数の証跡を作成し、他の証跡と同様に、すべてのリージョンまたは単一のリージョンに組織の証跡を作成するかどうか、および組織の証跡に記録するイベントの種類を選択できます。ただし、相違点がいくつかあります。例えば、コンソールに証跡を作成し、Amazon S3 バケットと AWS Lambda 関数のデータイベントを記録するかどうかを選択する場合、CloudTrail コンソールに表示されるリソースは管理アカウントのリソースのみですが、メンバーアカウントのリソースの ARN を追加できます。指定されたメンバーアカウントリソースのデータイベントは、それらのリソースへのクロスアカウントアクセスを手動で設定しなくても記録されます。管理イベント、Insights イベント、データイベントのログ記録の詳細については、「管理イベントのログ記録」、「データイベントをログ記録する」、「Insights イベントのログ記録」を参照してください。

注記

マルチリージョン証跡はコンソールで作成します。これは推奨されるベストプラクティスです。AWS アカウントのすべてのリージョンでアクティビティをログ記録すると、AWS 環境がより安全になります。単一リージョンの証跡を作成するには、 AWS CLI を使用します

AWS Organizations で組織の [イベント履歴] のイベントを表示すると、サインインしている AWS アカウント のイベントのみを表示することができます。例えば、組織管理アカウントでサインインしている場合、[イベント履歴] には、管理アカウントの過去 90 日間の管理イベントが表示されます。組織メンバーのアカウントイベントは、管理アカウントの [Event history] (イベント履歴) に表示されません。[イベント履歴] のメンバーアカウントのイベントを表示するには、メンバーアカウントでサインインします。

他の AWS サービスを設定して、組織の証跡について CloudTrail ログに収集されたイベントデータをさらに分析し、それを他の証跡と同様に処理することもできます。例えば、Amazon Athena を使用して組織の証跡のデータを分析できます。詳細については、「AWS サービスと CloudTrail ログの統合」を参照してください。