AWS CloudTrail
ユーザーガイド (Version 1.0)

AWS CloudTrail でのアイデンティティとアクセスに関するトラブルシューティング

次の情報は、CloudTrail と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。

CloudTrail でアクションを実行する権限がない

AWS マネジメントコンソール から、アクションを実行する権限がないと通知された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。

次の例のエラーは、mateojackson IAM ユーザーがコンソールを使用して証跡に関する詳細を表示しようとしたが、適切な CloudTrail 管理ポリシー (AWSCloudTrailFullAccess または AWSCloudTrailReadOnlyAccess) または同等のアクセス許可が自分のアカウントに適用されていない場合に発生します。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail

この場合、マテオは管理者に自分のポリシーを更新して、コンソール内の証跡情報とステータスにアクセスできるようにするよう依頼します。

AWSCloudTrailFullAccess 管理ポリシーまたはそれと同等のアクセス許可を持つ IAM ユーザーまたはロールでサインインしていて、証跡を使用して AWS Config または Amazon CloudWatch Logs の統合を設定できない場合は、それらのサービスとの統合に必要なアクセス許可を失っている可能性があります。詳細については、「CloudTrail コンソールで AWS Config 情報を表示するアクセス許可を付与する」および「CloudTrail コンソールでの Amazon CloudWatch Logs 情報を表示および設定する権限の付与」を参照してください。

管理者として CloudTrail へのアクセスを他のユーザーに許可したい

CloudTrail へのアクセスを他のユーザーに許可するには、アクセスを必要とする人またはアプリケーションの IAM エンティティ (ユーザー、グループまたはロール) を作成する必要があります。ユーザーは、このエンティティの認証情報を使用して AWS にアクセスします。次に、CloudTrail の適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります。これを行う方法の例については、「 CloudTrail ユーザーにカスタムアクセス許可を付与する」および「CloudTrail 管理のためのアクセス許可の付与 」を参照してください。

自分の AWS アカウント以外のユーザーに CloudTrail リソースへのアクセスを許可したい

ロールを作成し、複数の AWS アカウント間で CloudTrail 情報を共有できます。詳細については、「AWS アカウント間での CloudTrail ログファイルの共有」を参照してください。

他のアカウントのユーザーや組織外のユーザーが、リソースへのアクセスに使用できるロールを作成できます。ロールを引き受けるように信頼されたユーザーを指定することができます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください。