AWS CloudTrail Identity and Access のトラブルシューティング - AWS CloudTrail

AWS CloudTrail Identity and Access のトラブルシューティング

次の情報は、CloudTrail と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。

CloudTrail でアクションを実行する権限がない

AWS Management Console から、アクションを実行する権限がないと通知された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。

次の例のエラーは、mateojackson IAM ユーザーがコンソールを使用して証跡に関する詳細を表示しようとしたが、適切な CloudTrail マネージドポリシー (AWSCloudTrail_FullAccess または AWSCloudTrailReadOnlyAccess) または同等の許可が自分のアカウントに適用されていない場合に発生します。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail

この場合、マテオは管理者に自分のポリシーを更新して、コンソール内の証跡情報とステータスにアクセスできるようにするよう依頼します。

IAM ユーザーまたは AWSCloudTrail_FullAccess マネージドポリシーまたはそれと同等の許可を持つロールでサインインしていて、AWS Config または Amazon CloudWatch Logs の証跡との統合を設定できない場合、これらのサービスとの統合に必要な許可が不足している可能性があります。詳細については、「CloudTrail コンソールで AWS Config 情報を表示するアクセス許可を付与する」および「CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する」を参照してください。

管理者として CloudTrail へのアクセスを他のユーザーに許可したい

CloudTrail へのアクセスを他のユーザーに許可するには、アクセスを必要とする人またはアプリケーションの IAM エンティティ (ユーザー、グループまたはロール) を作成する必要があります。ユーザーは、このエンティティの認証情報を使用して AWS にアクセスします。次に、CloudTrail の適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります これを行う方法の例については、「 CloudTrail ユーザーにカスタムのアクセス許可を付与する」および「CloudTrail 管理のためのアクセス許可の付与」を参照してください。

自分の AWS アカウント以外のユーザーに CloudTrail リソースへのアクセスを許可したい

ロールを作成し、複数の AWS アカウント間で CloudTrail 情報を共有できます。詳細については、「AWS アカウント間での CloudTrail ログファイルを共有する」を参照してください。

他のアカウントのユーザーや組織外のユーザーが、リソースへのアクセスに使用できるロールを作成できます。ロールを引き受けるように信頼されたユーザーを指定することができます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください。