AWS CloudTrail ID とアクセスのトラブルシューティング - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail ID とアクセスのトラブルシューティング

次の情報は、 と IAM の使用に伴って発生する可能性がある一般的な問題の診断 CloudTrail や修復に役立ちます。

でアクションを実行する権限がない CloudTrail

「I am not authorized to perform an action in Amazon Bedrock」というエラーが表示された場合、そのアクションを実行できるようにポリシーを更新する必要があります。

次の例は、mateojackson という IAM ユーザーがコンソールを使用して架空の my-example-widget リソースに関する詳細を表示しようとしたとき、架空の cloudtrail:GetWidget アクセス許可がない場合に発生するエラーを示しています。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetWidget on resource: my-example-widget

この場合、cloudtrail:GetWidget アクションを使用して my-example-widgetリソースへのアクセスを許可するように、mateojackson ユーザーのポリシーを更新する必要があります。

サポートが必要な場合は、AWS 管理者に問い合わせてください。管理者とは、サインイン認証情報を提供した担当者です。

AWS Management Console から、アクションを実行する権限がないと通知された場合は、管理者に問い合わせてサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。

次の例のエラーは、mateojacksonIAM ユーザーがコンソールを使用して証跡の詳細を表示しようとしているが、適切な CloudTrail 管理ポリシー (AWSCloudTrail_FullAccess または AWSCloudTrail_ReadOnlyAccess) または同等のアクセス許可が自分のアカウントに適用されていない場合に発生します。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail

この場合、マテオは管理者に自分のポリシーを更新して、コンソール内の証跡情報とステータスにアクセスできるようにするよう依頼します。

AWSCloudTrail_FullAccess マネージドポリシーまたは同等のアクセス許可を持つ IAM ユーザーまたはロールでサインインし、 AWS Configまたは Amazon CloudWatch Logs と証跡の統合を設定できない場合、それらのサービスとの統合に必要なアクセス許可が不足している可能性があります。詳細については、「 CloudTrail コンソールでAWS Config情報を表示するアクセス許可の付与」および「 CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可の付与」を参照してください。

iam:PassRole を実行する権限がない

iam:PassRole アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して CloudTrail にロールを渡すことができるようにする必要があります。

一部の AWS のサービスでは、新しいサービスロールやサービスリンクロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡す権限が必要です。

以下の例のエラーは、marymajor という IAM ユーザーがコンソールを使用して CloudTrail でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。Mary には、ロールをサービスに渡す権限がありません。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、Mary のポリシーを更新して、Mary に iam:PassRole アクションの実行を許可する必要があります。

サポートが必要な場合は、AWS 管理者に問い合わせてください。管理者とは、サインイン認証情報を提供した担当者です。

自分の 以外のユーザーに CloudTrail リソースAWS アカウントへのアクセスを許可したい

ロールを作成し、複数の 間で CloudTrail 情報を共有できますAWS アカウント。詳細については、「AWS アカウント間での CloudTrail ログファイルを共有する」を参照してください。

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセス制御リスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください:

iam:PassRole を実行する権限がない

iam:PassRole アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して CloudTrail にロールを渡すことができるようにする必要があります。

一部の AWS のサービスでは、新しいサービスロールやサービスリンクロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡す権限が必要です。

以下の例のエラーは、marymajor という IAM ユーザーがコンソールを使用して CloudTrail でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。Mary には、ロールをサービスに渡す権限がありません。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、Mary のポリシーを更新して、Mary に iam:PassRole アクションの実行を許可する必要があります。

サポートが必要な場合は、AWS 管理者に問い合わせてください。管理者とは、サインイン認証情報を提供した担当者です。

組織の証跡またはイベントデータストアを作成しようとすると NoManagementAccountSLRExistsException 例外が発生する

NoManagementAccountSLRExistsException 例外は、サービスにリンクされたロールが管理アカウントにない場合に発生します。サービスにリンクされたロールが存在しない場合、AWS Organizations AWS CLI または API オペレーションを使用して委任管理者を追加してもサービスにリンクされたロールは作成されません。

組織の管理アカウントを使用して委任された管理者を追加するか、 CloudTrail コンソールで組織の証跡またはイベントデータストアを作成するか、 AWS CLIまたは CloudTrail API を使用して、管理アカウントにサービスにリンクされたロールがまだ存在しない場合は、 によって CloudTrail 自動的に作成されます。

委任された管理者を追加していない場合は、 CloudTrail コンソールAWS CLIまたは CloudTrail API を使用して委任された管理者を追加します。委任された管理者の追加の詳細については、CloudTrail の委任された管理者を追加する「」およびRegisterOrganizationDelegatedAdmin「 (API)」を参照してください。

委任された管理者を既に追加している場合は、管理アカウントを使用して、 CloudTrail コンソールで、または または CloudTrail API を使用して組織の証跡AWS CLIまたはイベントデータストアを作成します。組織の証跡の作成の詳細については、コンソールで組織の証跡を作成する「」、AWS Command Line Interface による組織の証跡の作成「」、およびCreateTrail「(API)」を参照してください。