組織の証跡の作成 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の証跡の作成

で組織を作成した場合は AWS Organizations、その組織内のすべてのイベントを記録する証跡を作成できます。 AWS アカウント これは、組織の証跡と呼ばれることもあります。

組織の管理アカウントは、新しい組織の証跡を作成する、または既存の組織の証跡を管理する委任された管理者を割り当てることができます。委任された管理者の追加の詳細については、「委任管理者を追加します。 CloudTrail 」を参照してください。

組織の管理アカウントは、アカウントの既存の証跡を編集して組織に適用し、それを組織の証跡にすることができます。組織の証跡では、組織内の管理アカウントとすべてのメンバーアカウントのイベントが記録されます。の詳細については AWS Organizations、「Organizations 用語と概念」を参照してください。

注記

組織の証跡を作成するには、その組織の管理アカウントまたは委任された管理者アカウントを使用してサインインする必要があります。また、証跡を作成するには、管理アカウントもしくは委任された管理者アカウントのユーザーまたはロールに対する十分なアクセス許可も必要です。十分なアクセス許可がない場合は、証跡を組織に適用するオプションは使用できません。

コンソールを使用して作成された組織証跡はすべて、AWS リージョン 組織内の各メンバーアカウントで有効になっているイベントを記録する複数地域の組織証跡です。 AWS 組織内のすべてのパーティションのイベントを記録するには、各パーティションにマルチリージョン組織記録を作成します。を使用して、単一地域または複数地域の組織記録を作成できます。 AWS CLI単一リージョンのトレイルを作成すると、そのトレイル AWS リージョン (ホームリージョンとも呼ばれる) のアクティビティのみが記録されます。

AWS リージョン ほとんどのリージョンはデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれる) は手動で有効にする必要があります。どのリージョンがデフォルトで有効になっているかについては、『リファレンスガイド』の「リージョンを有効または無効にする前の考慮事項」を参照してください。AWS Account Management CloudTrail リージョンがサポートするリストについては、を参照してください。CloudTrail サポートされているリージョン

組織トレイルを作成すると、指定した名前のトレイルのコピーが、組織に属するメンバーアカウントに作成されます。

  • 組織証跡が単一地域用で証跡のホーム地域がOPT地域ではない場合、各メンバーアカウントの組織証跡のホーム地域に証跡のコピーが作成されます。

  • 組織証跡が単一地域用で証跡の本地域がOPT地域の場合、その地域を有効にしたメンバーアカウントの組織証跡のホーム地域に、その証跡のコピーが作成されます。

  • 組織証跡がマルチリージョンでトレイルのホーム地域がオプトイン地域ではない場合、 AWS リージョン 各メンバーアカウントで有効になっているそれぞれにトレイルのコピーが作成されます。メンバーアカウントがオプトインリージョンを有効にすると、そのリージョンの有効化が完了すると、そのメンバーアカウントの新しくオプトインしたリージョンにマルチリージョントレイルのコピーが作成されます。

  • 組織記録がマルチリージョンで、ホームリージョンがオプトインリージョンの場合メンバーアカウントは、 AWS リージョン マルチリージョントレイルが作成された場所にオプトインしない限り、組織トレイルにアクティビティを送信しません。たとえば、マルチリージョンのトレイルを作成し、トレイルのホームリージョンとしてヨーロッパ (スペイン) リージョンを選択した場合、そのアカウントでヨーロッパ (スペイン) リージョンを有効にしたメンバーアカウントのみが、自分のアカウントアクティビティを組織トレイルに送信します。

注記

CloudTrail リソースの検証に失敗した場合でも、メンバーアカウントに組織証跡を作成します。検証失敗の例には以下が含まれます。

  • Amazon S3 バケットポリシーが間違っている

  • Amazon SNS トピックポリシーが間違っている

  • CloudWatch Logs ロググループに配信できない

  • KMS キーを使用して暗号化するには権限が不十分です。

CloudTrail 権限を持つメンバーアカウントは、 CloudTrail コンソールのトレイルの詳細ページを表示するか、コマンドを実行することで、組織トレイルの検証エラーを確認できます。 AWS CLI get-trail-status

CloudTrail メンバーアカウントの権限を持つユーザーは、 AWS CloudTrail 自分のアカウントからコンソールにログインしたり、 AWS CLI describe-trailsなどのコマンドを実行したりしたときに AWS アカウント、組織記録を見ることができます。ただし、メンバーアカウントのユーザーには、組織記録の削除、ログのオン/オフ、記録するイベントの種類の変更、その他の方法で組織記録を変更するための十分な権限がありません。

コンソールでOrganizations トレイルを作成するか、 CloudTrail 組織で信頼できるサービスとして有効にすると、組織のメンバーアカウントでロギングタスクを実行するサービスにリンクされたロールが作成されます。このロールには名前が付けられておりAWSServiceRoleForCloudTrail、 CloudTrail 組織のイベントを記録するのに必要です。 AWS アカウント が組織に追加されると、組織記録とサービスにリンクされたロールが組織記録に追加され AWS アカウント、組織記録でそのアカウントのログが自動的に開始されます。 AWS アカウント が組織から削除されると、組織記録とサービスにリンクされたロールは、組織の一部ではなくなったロールから削除されます。 AWS アカウント ただし、アカウントが削除される前に作成した削除されたアカウントのログファイルは、証跡用にログファイルが保存されている Amazon S3 バケットに残ります。

AWS Organizations 組織の管理アカウントが組織証跡を作成した後に、その組織の管理アカウントとして削除された場合、そのアカウントを使用して作成された組織証跡はすべて非組織証跡になります。

次の例では、組織の管理アカウント 111111111111 が o-exampleorgid MyOrganizationTrailという組織にちなんだ名前のトレイルを作成します。証跡は、同じ Amazon S3 バケット内の組織内のすべてのアカウントのアクティビティを記録します。MyOrganizationTrail組織内のすべてのアカウントはそれぞれの証跡のリストを見ることができますが、メンバーアカウントは組織の記録を削除したり変更したりすることはできません。組織の証跡を変更または削除できるのは、管理アカウントまたは委任された管理者アカウントのみです。組織からメンバーアカウントを削除できるのは、管理アカウントのみです。同様に、デフォルトでは、my-organization-bucketトレイル用の Amazon S3 バケットとそこに含まれるログにアクセスできるのは管理アカウントだけです。ログファイルの高レベルのバケット構造では、組織 ID で名前が付けられたフォルダと、組織内の各アカウントのアカウント ID で名前が付けられたサブフォルダが含まれます。各メンバーアカウントのイベントは、メンバーアカウント ID に対応するフォルダに記録されます。メンバーアカウント 444444444444 MyOrganizationTrailが組織から削除され、 AWS サービスにリンクされたロールがアカウント 4444444444444444 に表示されなくなり、組織証跡によってそのアカウントにそれ以上のイベントが記録されなくなる場合。ただし、444444444444 フォルダは Amazon S3 バケットに残り、組織からアカウントを削除する前にすべてのログが作成されます。

Organizations 内のサンプル組織の概念概要、その組織が組織記録によってどのように記録されるか CloudTrail、および Amazon S3 バケット内の結果として得られる高レベルのフォルダ構造の概要

この例では、管理アカウントで作成した証跡の ARN は aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail です。この ARN は、すべてのメンバーアカウントにおける証跡の ARN でもあります。

組織の証跡は多くの点で通常の証跡と似ています。組織に複数の証跡を作成し、他の証跡と同様に、すべてのリージョンまたは単一のリージョンに組織の証跡を作成するかどうか、および組織の証跡に記録するイベントの種類を選択できます。ただし、相違点がいくつかあります。たとえば、コンソールで証跡を作成し、Amazon S3 AWS Lambda バケットまたは関数のデータイベントをログに記録するかどうかを選択した場合、 CloudTrail コンソールに一覧表示されるリソースは管理アカウントのリソースのみですが、メンバーアカウントのリソースの ARN を追加できます。指定されたメンバーアカウントリソースのデータイベントは、それらのリソースへのクロスアカウントアクセスを手動で設定しなくても記録されます。管理イベント、Insights イベント、データイベントのログ記録の詳細については、「CloudTrail ログファイルの使用」を参照してください。

注記

コンソールで、すべてのリージョンのログ記録を行う証跡を作成します。これはおすすめのベストプラクティスです。すべてのリージョンでアクティビティを記録することで、 AWS 環境をより安全に保つことができます。単一リージョンの証跡を作成するには、 AWS CLIを使用します

また、 CloudTrail 組織トレイルのログに収集されたイベントデータを他のトレイルと同様にさらに分析し、 AWS それに基づいて処理するように他のサービスを設定することもできます。例えば、Amazon Athena を使用して組織の証跡のデータを分析できます。詳細については、「AWS CloudTrail サービスとログの統合」を参照してください。

トピック