追加アカウントでの証跡の作成

コンソールまたは を使用して AWS CLI 、追加の で証跡を作成し AWS アカウント 、ログファイルを 1 つの Amazon S3 バケットに集約できます。または、組織の証跡を作成して、 の組織の一部 AWS アカウント であるすべての をログに記録することもできます AWS Organizations。詳細については、「組織の証跡の作成」を参照してください。

コンソールを使用して追加の AWS アカウントで証跡を作成する

CloudTrail コンソールを使用して、追加のアカウントで証跡を作成できます。

1. 証跡を作成するアカウント AWS Management Console で にサインインします。コンソールを使用して証跡を作成するには、「コンソールで証跡を作成する」の手順に従います。

2. ストレージの場所で、既存の S3 バケットを使用を選択します。テキストボックスに、アカウント全体のログファイルの保存に使用するバケットの名前を入力します。

   注記

   バケットポリシーは、バケットポリシーに書き込むアクセス CloudTrail 許可を付与する必要があります。バケットポリシーを手動で編集する方法については、複数のアカウントのバケットポリシーの設定 を参照してください。

   

3. [プレフィックス] には、アカウント全体のログファイルの保存に使用するプレフィックスを入力します。バケットポリシーで指定したプレフィックスとは異なるプレフィックスを使用する場合は、レプリケート先バケットのバケットポリシーを編集して、この新しいプレフィックスを使用して がバケット CloudTrail にログファイルを書き込むことを許可する必要があります。

CLI を使用して追加の AWS アカウントで証跡を作成する

AWS コマンドラインツールを使用して、追加のアカウントに証跡を作成し、ログファイルを 1 つの Amazon S3 バケットに集約できます。これらのツールの詳細については、「 コマンドリファレンス」の「cloudtrail」を参照してください。 AWS CLI

create-trail コマンドを使用して以下を指定し、証跡を作成します。

• --name は、証跡の名前を指定します。

• --s3-bucket-name は、アカウント全体のログファイルの保存に使用する Amazon S3 バケットを指定します。

• --s3-prefix は、ログファイルの配信パスのプレフィックスを指定します (オプション)。

• --is-multi-region-trail は、この証跡が、作業しているパーティション内のすべての AWS リージョンのイベントをログに記録するように指定します。

アカウントが AWS リソースを実行しているリージョンごとに 1 つの証跡を作成できます。

次のコマンド例は、 AWS CLIを使用して追加のアカウントの証跡を作成する方法を示しています。これらのアカウントのログファイルが、最初のアカウント (この例では 111111111111) で作成したバケットに配信されるようにするには、--s3-bucket-name オプションでバケット名を指定します。Amazon S3 バケット名は、グローバルに一意です。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail

コマンドを実行すると、以下のような出力が表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

AWS コマンドラインツール CloudTrail からの の使用の詳細については、CloudTrail 「 コマンドラインリファレンス」を参照してください。