AWS CloudTrail
ユーザーガイド (Version 1.0)

組織の証跡の作成

AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントのすべてのイベントを記録する証跡を作成できます。これは、組織の証跡と呼ばれることもあります。マスターアカウントの既存の証跡を編集して組織に適用し、それを組織の証跡にすることもできます。組織の証跡では、組織内のマスターアカウントとすべてのメンバーアカウントのイベントが記録されます。AWS Organizations の詳細については、「組織 の用語と概念」を参照してください。

注記

組織の証跡を作成するには、その組織のマスターアカウントでログインする必要があります。組織の証跡を正常に作成するには、IAM ユーザーまたはマスターアカウントのロールに対する十分なアクセス許可も必要です。十分なアクセス許可がない場合は、証跡を組織に適用するオプションは表示されません。

組織の証跡を作成すると、自分の組織に属するすべての AWS アカウントに、指定した名前の証跡が作成されます。メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、AWS アカウントから AWS CloudTrail コンソールにログインしたとき、または describe-trail などの AWS CLI コマンドを実行したときにこの証跡を表示することができます。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、記録するイベントの種類の変更、または組織の証跡の変更を行うための十分なアクセス許可がありません。

コンソールで組織の証跡を作成するとき、または 組織 で CloudTrail を信頼されたサービスとして有効にしたときに、組織のメンバーアカウントでログ記録タスクを実行するためのサービスリンクロールが作成されます。このロールは [AWSServiceRoleForCloudTrail] という名前で、CloudTrail が組織のイベントを正常に記録するために必要です。AWS アカウントが組織に追加されると、その組織の証跡とサービスリンクのロールがその AWS アカウントに追加され、そのアカウントのログ記録が自動的に組織の証跡で開始されます。AWS アカウントが組織から削除されると、組織の証跡とサービスリンクのロールは、もはやその組織の一部ではない AWS アカウントから削除されます。ただし、アカウントの削除前に作成されたその削除されたアカウントのログファイルは、ログファイルが追跡用に保存されている Amazon S3 バケットに残ります。

次の例では、マスターアカウント 111111111111 のユーザーが、組織 o-exampleorgid に対して MyOrganizationTrail という名前の証跡を作成します。証跡は、同じ Amazon S3 バケット内の組織内のすべてのアカウントのアクティビティを記録します。組織内のすべてのアカウントの証跡リストに MyOrganizationTrail が表示されますが、メンバーアカウントは組織の証跡を削除または変更することはできません。マスターアカウントのみが組織からメンバーアカウントを削除できるのと同様に、マスターアカウントのみが組織の証跡を変更または削除できます。同様に、デフォルトでは、マスターアカウントのみが証跡用の Amazon S3 バケット my-organization-bucket とそこに含まれるログにアクセスできます。ログファイルの高レベルのバケット構造には、組織 ID で名前が付けられたフォルダと、組織内の各アカウントのアカウント ID で名前が付けられたサブフォルダが含まれています。各メンバーアカウントのイベントは、メンバーアカウント ID に対応するフォルダに記録されます。将来的にメンバーアカウント 444444444444 が組織から削除された場合、MyOrganizationTrail とサービスにリンクされたロールは AWS アカウント 444444444444 に表示されなくなり、組織の証跡にそのアカウントのイベントが記録されなくなります。ただし、444444444444 フォルダは Amazon S3 バケットに残り、組織からアカウントを削除する前にすべてのログが作成されます。


            組織 のサンプル組織の概念的概要、およびその組織が組織の証跡によってログに記録される方法 CloudTrail、および結果として得られる上位フォルダ構造が Amazon S3 バケットにあるもの

この例では、マスターアカウントで作成した証跡の ARN は aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail です。この ARN は、すべてのメンバーアカウントにおける証跡の ARN でもあります。

組織の証跡は多くの点で通常の証跡と似ています。組織に複数の証跡を作成し、他の証跡と同様に、すべてのリージョンまたは単一のリージョンに組織の証跡を作成するかどうか、および組織の証跡に記録するイベントの種類を選択できます。ただし、相違点がいくつかあります。たとえば、コンソールに証跡を作成し、Amazon S3 バケットと AWS Lambda 関数のデータイベントを記録するかどうかを選択する場合、CloudTrail コンソールに表示されるリソースはマスターアカウントのリソースのみですが、メンバーアカウントのリソースの ARN を追加できます。指定されたメンバーアカウントリソースのデータイベントは、それらのリソースへのクロスアカウントアクセスを手動で構成しなくても記録されます。管理イベントとデータイベントのログ記録の詳細については、「証跡のデータイベントと管理イベントのログ記録」を参照してください。

他の AWS サービスを設定して、組織の証跡について CloudTrail ログに収集されたイベントデータをさらに分析し、それを他の証跡と同様に処理することもできます。たとえば、Amazon Athena を使用して組織の証跡のデータを分析できます。詳細については、「AWS のサービスの CloudTrail ログとの統合」を参照してください。