組織の証跡の作成 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の証跡の作成

AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントのすべてのイベントを記録する証跡を作成できます。これは、組織の証跡と呼ばれることもあります。管理アカウントの既存の証跡を編集して組織に適用し、それを組織の証跡にすることもできます。組織の証跡では、組織内の管理アカウントとすべてのメンバーアカウントのイベントが記録されます。の詳細AWS Organizations「」を参照してください。Organizations 用語と概念

注記

組織の証跡を作成するには、その組織の管理アカウントでログインする必要があります。組織の証跡を正常に作成するには、IAM ユーザーまたは管理アカウントのロールに対する十分なアクセス許可も必要です。十分なアクセス許可がない場合は、証跡を組織に適用するオプションを表示することはできません。

組織の証跡を作成すると、自分の組織に属するすべての AWS アカウントに、指定した名前の証跡が作成されます。メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、AWS CloudTrailコンソールからAWSアカウント、またはAWS CLIなどのコマンドdescribe-trail。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、記録するイベントの種類の変更、または組織の証跡の変更を行うための十分なアクセス許可がありません。

コンソールで組織の証跡を作成するとき、または CloudTrail を組織で信頼できるサービスとして有効にしたときに、Organizations メンバーアカウントでログ記録タスクを実行するためのサービスリンクのロールが作成されます。このロールの名前はAWSservicerOreforCloudTrailCloudTrail が組織のイベントを正常に記録するために必要です。AWS アカウントが組織に追加されると、その組織の証跡とサービスリンクのロールがその AWS アカウントに追加され、そのアカウントのログ記録が自動的に組織の証跡で開始されます。AWS アカウントが組織から削除されると、組織の証跡とサービスリンクのロールは、もはやその組織の一部ではない AWS アカウントから削除されます。ただし、アカウントの削除前に作成されたその削除されたアカウントのログファイルは、ログファイルが追跡用に保存されている Amazon S3 バケットに残ります。

次の例では、管理アカウント 111111111111 のユーザーは、MyOrganizationTrail組織のオexampleorgid。証跡は、同じ Amazon S3 バケット内の組織内のすべてのアカウントのアクティビティを記録します。組織内のすべてのアカウントの証跡リストに MyOrganizationTrail が表示されますが、メンバーアカウントは組織の証跡を削除または変更することはできません。組織の証跡を変更または削除できるのは、管理アカウントのみが組織からメンバーアカウントを削除できるのと同様に、管理アカウントのみが組織の証跡を変更または削除できます。同様に、デフォルトでは、管理アカウントのみが Amazon S3 バケットにアクセスできます。私の組織バケットを証跡とその中に含まれるログに使用します。ログファイルの高レベルのバケット構造には、組織 ID で名前が付けられたフォルダと、組織内の各アカウントのアカウント ID で名前が付けられたサブフォルダが含まれています。各メンバーアカウントのイベントは、メンバーアカウント ID に対応するフォルダに記録されます。メンバーアカウント444444444444が将来ある時点で組織から削除された場合、MyOrganizationTrailサービスにリンクされたロールはAWSアカウント 444444444444、および組織証跡によってそのアカウントのイベントは記録されません。ただし、4444444444 フォルダは Amazon S3 バケットに残り、組織からアカウントを削除する前にすべてのログが作成されます。


            「Organizations」のサンプル組織の概念的概要、およびその組織が組織の証跡によってログに記録される方法、および結果として得られる上位フォルダ構造が Amazon S3 バケットにあるもの

この例では、管理アカウントで作成した証跡の ARN はaws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail。この ARN は、すべてのメンバーアカウントにおける証跡の ARN でもあります。

組織の証跡は多くの点で通常の証跡と似ています。組織に複数の証跡を作成し、他の証跡と同様に、すべてのリージョンまたは単一のリージョンに組織の証跡を作成するかどうか、および組織の証跡に記録するイベントの種類を選択できます。ただし、相違点がいくつかあります。たとえば、コンソールで証跡を作成し、Amazon S3 バケットのデータイベントをログに記録するか、AWS Lambda関数では、CloudTrail コンソールに表示されるリソースは管理アカウントのリソースのみですが、メンバーアカウントのリソースの ARN を追加できます。指定されたメンバーアカウントリソースのデータイベントは、それらのリソースへのクロスアカウントアクセスを手動で構成しなくても記録されます。管理イベント、インサイトイベント、データイベントのログ記録の詳細については、「CloudTrail ログファイルの操作」を参照してください。

注記

コンソールで、すべてのリージョンの証跡を作成します。これは推奨されるベストプラクティスです。すべてのリージョンでアクティビティを記録すると、AWS環境のセキュリティを強化します。単一リージョンの証跡を作成するにはの使用AWS CLI

また、他のAWSサービスでは、CloudTrail ログに収集されたイベントデータをさらに分析し、組織の証跡についてさらに分析し、それを他の証跡と同様に処理することができます。たとえば、Amazon Athena を使用して、組織の証跡のデータを分析できます。詳細については、「AWSCloudTrail ログを使用したサービスの統合」を参照してください。

イベント履歴と組織の証跡

組織の証跡では、直近 90 日の管理イベントをイベント履歴個々のアカウントが行うのと同じ方法です。イベントを表示するにはイベント履歴で組織の場合AWS Organizationsのイベントのみを表示する場合は、 AWS アカウント がサインインしていることを確認します。たとえば、組織管理アカウントでサインインしている場合、イベント履歴管理アカウントの過去 90 日間の管理イベントが表示されます。組織メンバーのアカウントイベントは、イベント履歴管理アカウントの。メンバーアカウントのイベントを表示するにはイベント履歴で、メンバーアカウントでサインインします。

メンバーアカウント証跡から組織証跡への移行に関するベストプラクティス

個々のメンバーアカウントに CloudTrail 証跡がすでに設定されているが、すべてのアカウントのイベントを記録するために組織の証跡に移行する場合は、組織の証跡を作成する前に個々のメンバーアカウントの証跡を削除すると、イベントが失われる可能性があります。ただし、証跡が 2 つあると、組織の証跡に配信されるイベントのコピー分、コストが高くなります。

コストを抑えながら、組織の証跡へのログ配信前にイベントが失われないようにするには、個々のメンバーアカウントの証跡と組織の証跡の両方を最大 1 日間、保持することを検討してください。これにより、組織の証跡ですべてのイベントが記録されますが、重複するイベントコストは 1 日間分で済みます。1 日目が過ぎれば、個々のメンバーアカウントの証跡へのログ記録を停止 (または削除) できます。