追加のアカウントで CloudTrail を有効にする - AWSCloudTrail

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

追加のアカウントで CloudTrail を有効にする

コンソールまたはコマンドラインインターフェイスを使用して、追加の CloudTrail アカウントで AWS を有効にできます。

コンソールを使用して追加の CloudTrail アカウントで AWS を有効にする

CloudTrail コンソールを使用して、追加のアカウントで CloudTrail を有効にできます。

  1. アカウント AWS の認証情報を使用して 222222222222 マネジメントコンソールにサインインし、AWS CloudTrail コンソールを開きます。ナビゲーションバーで、 を有効にするリージョンを選択します。CloudTrail.

  2. Get Started Now.] を選択します。

  3. 次のページで、[Trail name] ボックスに証跡の名前を入力します。

  4. [Create a new S3 bucket?] で、[No] を選択します。 アカウント 111111111111 の認証情報でサインインした際にログファイルの保存用として作成したバケットの名前を、テキストボックスに入力します。別のアカウントの S3 バケットを指定する必要がある場合は、CloudTrail により警告が表示されます。入力したバケットの名前を確認します。

  5. Advanced.] を選択します。

  6. アカウント の認証情報を使用して をオンにする際にログファイルの保存用として入力したのと同じプレフィックスを、[CloudTrailLog file prefix111111111111] フィールドに入力します。最初のアカウントで CloudTrail をオンにした際に入力したものとは異なるプレフィックスを使用する場合は、送信先バケットでバケットポリシーを編集して、CloudTrail がこの新しいプレフィックスを使用してバケットにログファイルを書き込めるようにする必要があります。

  7. (オプション) [Yes] または [No] を [SNS notification for every log file delivery?.] で選択します。Yes] を選択した場合は、[Amazon SNSSNS topic (new) field] に . トピックの名前を入力します。

    注記

    Amazon SNS はリージョンごとのサービスであるため、トピックを作成する場合、そのトピックは CloudTrail を有効にしたリージョンと同じリージョンに作成されることになります。すべてのリージョンに適用される証跡がある場合は、トピックに適用される適切なポリシーが存在する限り、任意のリージョンの Amazon SNS トピックを選択することができます。詳細については、「」を参照してください。Amazon SNS の トピックポリシーCloudTrail.

  8. Turn On.] を選択します。

CloudTrail は、このリージョンのアカウントで実行された AWS 呼び出しを示すログファイルの発行を開始します。CloudTrail は通常、API 呼び出しの平均約 15 分のログを配信します。この時間は保証されません。詳細については、「 のサービスレベルアグリーメント (SLA)AWS CloudTrail」を参照してください。

CLI を使用して追加 CloudTrail アカウントで AWS を有効にする

AWS コマンドラインツールを使用して、追加のアカウントで CloudTrail を有効にし、ログファイルを 1 つの Amazon S3 バケットに集約できます。これらのツールの詳細については、「AWS Command Line Interface ユーザーガイド」を参照してください。

CloudTrail コマンドを使用して、追加のアカウントで create-trail を有効にし、以下を指定します。

  • --name は、証跡の名前を指定します。

  • --s3-bucket-name は、最初のアカウント (この例では Amazon S3) で CloudTrail を有効にしたときに作成された、既存の 111111111111 バケットを指定します。

  • --s3-prefix は、ログファイルの配信パスのプレフィックスを指定します (オプション)。

  • --is-multi-region-trail は、この証跡がすべての AWS リージョンでイベントをログに記録するように指定します。

コンソールを使用して作成する証跡とは異なり、AWS CLI を使用して作成するすべての証跡には、名前を付ける必要があります。アカウントが AWS リソースを実行しているリージョンごとに、1 つの証跡を作成できます。

次のコマンド例は、 を使用して追加のアカウントの証跡を作成する方法を示しています。AWS CLI. これらのアカウントのログファイルが、最初のアカウント (この例では 111111111111) で作成したバケットに配信されるようにするには、--s3-bucket-name オプションでバケット名を指定します。Amazon S3 バケット名は、グローバルに一意です。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

コマンドを実行すると、以下のような出力が表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "AWSCloudTrailExample", "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "MyBucketBelongingToAccount111111111111" }

CloudTrail コマンドラインツールから AWS を使用する方法の詳細については、「CloudTrail コマンドラインリファレンス.」を参照してください。