組織の証跡の作成 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の証跡の作成

で組織を作成した場合は AWS Organizations、その組織 AWS アカウント 内のすべての のすべてのイベントを記録する証跡を作成できます。これは、組織の証跡と呼ばれることもあります。

組織の管理アカウントは、新しい組織の証跡を作成する、または既存の組織の証跡を管理する委任された管理者を割り当てることができます。委任された管理者の追加の詳細については、「 CloudTrail 委任された管理者を追加する」を参照してください。

組織の管理アカウントは、アカウントの既存の証跡を編集して組織に適用し、それを組織の証跡にすることができます。組織の証跡では、組織内の管理アカウントとすべてのメンバーアカウントのイベントが記録されます。の詳細については AWS Organizations、「 Organizations の用語と概念」を参照してください。

注記

組織の証跡を作成するには、その組織の管理アカウントまたは委任された管理者アカウントを使用してサインインする必要があります。また、管理アカウントまたは委任された管理者アカウントのユーザーまたはロールが証跡を作成するための十分なアクセス許可も必要です。十分なアクセス許可がない場合は、証跡を組織に適用するオプションは使用できません。

コンソールを使用して作成されたすべての組織の証跡は、組織内の各メンバーアカウントで有効になっている AWS リージョン からのイベントをログに記録するマルチリージョン組織の証跡です。組織内のすべての AWS パーティションのイベントをログに記録するには、各パーティションにマルチリージョン組織の証跡を作成します。を使用して、単一リージョンまたはマルチリージョンの組織の証跡を作成できます AWS CLI。単一リージョンの証跡を作成する場合は、証跡の AWS リージョン (ホームリージョンとも呼ばれる) でのみアクティビティを記録します。

のほとんどの AWS リージョン はデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンについては、「 AWS Account Management リファレンスガイド」の「リージョンを有効または無効にする前の考慮事項」を参照してください。が CloudTrail サポートするリージョンのリストについては、「」を参照してくださいCloudTrail サポートされているリージョン

組織の証跡を作成すると、指定した名前の証跡のコピーが、組織に属するメンバーアカウントに作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョン でない場合、証跡のコピーは各メンバーアカウントの組織の証跡のホームリージョンに作成されます。

  • 組織の証跡が単一リージョン用で、証跡のホームリージョンがオプトリージョン の場合、証跡のコピーは、そのリージョンを有効にしたメンバーアカウントの組織の証跡のホームリージョンに作成されます。

  • 組織の証跡がマルチリージョンで、証跡のホームリージョンオプトインリージョン でない場合、証跡のコピーは各メンバーアカウントで有効になっている各 AWS リージョン に作成されます。メンバーアカウントがオプトインリージョンを有効にすると、マルチリージョン証跡のコピーが、そのリージョンのアクティベーションが完了した後に、メンバーアカウントの新しくオプトインされたリージョンに作成されます。

  • 組織の証跡がマルチリージョンで、ホームリージョンオプトインリージョン の場合、マルチ AWS リージョン リージョン証跡が作成された をオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、そのアカウントの欧州 (スペイン) リージョンを有効にしたメンバーアカウントのみが、組織の証跡にアカウントアクティビティを送信します。

注記

CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織の証跡を作成します。検証の失敗の例は次のとおりです。

  • Amazon S3 バケットポリシーが正しくない

  • Amazon SNSトピックポリシーが正しくない

  • Logs CloudWatch ロググループに配信できない

  • KMS キーを使用して暗号化するアクセス許可が不十分

アクセス CloudTrail 許可を持つメンバーアカウントは、 CloudTrail コンソールで証跡の詳細ページを表示するか、 コマンドを実行する AWS CLI get-trail-statusことで、組織の証跡の検証失敗を確認できます。

メンバーアカウントの CloudTrail アクセス許可を持つユーザーは、 から AWS CloudTrail コンソールにログインするとき AWS アカウント、または などの AWS CLI コマンドを実行するときに、組織の証跡を表示できますdescribe-trails。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログのオン/オフの切り替え、ログに記録されるイベントの種類の変更、または組織の証跡の変更を行うための十分なアクセス許可がありません。

コンソールで組織の証跡を作成するか、Organizations で信頼されたサービス CloudTrail として を有効にすると、組織のメンバーアカウントでログ記録タスクを実行するためのサービスにリンクされたロールが作成されます。このロールの名前は でAWSServiceRoleForCloudTrail、 が組織のイベントをログ CloudTrail に記録するために必要です。 AWS アカウント が組織に追加されると、組織の証跡とサービスにリンクされたロールがその に追加され AWS アカウント、組織の証跡でそのアカウントのログ記録が自動的に開始されます。 AWS アカウント が組織から削除されると、組織の証跡とサービスにリンク AWS アカウント されたロールは、組織に含まれなくなった から削除されます。ただし、アカウントが削除される前に作成した削除されたアカウントのログファイルは、証跡用にログファイルが保存されている Amazon S3 バケットに残ります。

AWS Organizations 組織の管理アカウントが組織の証跡を作成し、その後組織の管理アカウントとして削除された場合、そのアカウントを使用して作成された組織の証跡は非組織の証跡になります。

次の例では、組織の管理アカウント 111111111111 が という名前の証跡を作成します。MyOrganizationTrail 組織の o-exampleorgid。 証跡は、同じ Amazon S3 バケット内の組織内のすべてのアカウントのアクティビティを記録します。組織内のすべてのアカウントが を表示できる MyOrganizationTrail 証跡のリストには含まれていますが、メンバーアカウントは組織の証跡を削除または変更することはできません。組織の証跡を変更または削除できるのは、管理アカウントまたは委任された管理者アカウントのみです。組織からメンバーアカウントを削除できるのは、管理アカウントのみです。同様に、デフォルトでは、管理アカウントのみが証跡の Amazon S3 バケットとその中に含まれるログにアクセスできます。ログファイルの高レベルバケット構造には、組織 ID を持つ という名前のフォルダと、組織内のIDs各アカウントのアカウントを持つ という名前のサブフォルダが含まれます。各メンバーアカウントのイベントは、メンバーアカウント ID に対応するフォルダに記録されます。メンバーアカウント 444444444444 が組織から削除された場合、MyOrganizationTrail とサービスにリンクされたロールは AWS アカウント 444444444444 に表示されなくなり、組織の証跡によってそのアカウントのイベントは記録されません。ただし、444444444444 フォルダは Amazon S3 バケットに残り、組織からアカウントを削除する前にすべてのログが作成されます。

Organizations のサンプル組織の概念的な概要。

この例では、管理アカウントで作成された証跡ARNの は ですaws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail。ARN これは、すべてのメンバーアカウントのARN証跡の でもあります。

組織の証跡は多くの点で通常の証跡と似ています。組織に複数の証跡を作成し、他の証跡と同様に、すべてのリージョンまたは単一のリージョンに組織の証跡を作成するかどうか、および組織の証跡に記録するイベントの種類を選択できます。ただし、相違点がいくつかあります。例えば、コンソールで証跡を作成し、Amazon S3 バケットまたは AWS Lambda 関数のデータイベントを記録するかどうかを選択すると、 CloudTrail コンソールに表示されるリソースは管理アカウントのリソースのみですが、メンバーアカウントのリソースARNsの を追加できます。指定されたメンバーアカウントリソースのデータイベントは、それらのリソースへのクロスアカウントアクセスを手動で設定しなくても記録されます。管理イベント、Insights イベント、およびデータイベントのログ記録の詳細については、管理イベントのログ記録「」、データイベントをログ記録する「」、および「」を参照してくださいInsights イベントのログ記録

注記

コンソールで、マルチリージョンの証跡を作成します。これは推奨されるベストプラクティスです。 のすべてのリージョンでアクティビティをログに記録すると AWS アカウント 、 AWS 環境をより安全に維持できます。単一リージョンの証跡を作成するには、 AWS CLIを使用します

の組織のイベント履歴でイベントを表示すると AWS Organizations、サインイン AWS アカウント している のイベントのみを表示できます。例えば、組織管理アカウントでサインインしている場合、[イベント履歴] には、管理アカウントの過去 90 日間の管理イベントが表示されます。組織メンバーのアカウントイベントは、管理アカウントの [Event history] (イベント履歴) に表示されません。[イベント履歴] のメンバーアカウントのイベントを表示するには、メンバーアカウントでサインインします。

組織の証跡の CloudTrail ログで収集されたイベントデータを、他の証跡と同じ方法でさらに分析して処理するように、他の AWS サービスを設定できます。例えば、Amazon Athena を使用して組織の証跡のデータを分析できます。詳細については、「AWS CloudTrail ログと サービスの統合」を参照してください。

トピック