追加アカウントでの証跡の作成

コンソールまたはコマンドラインインターフェイスを使用して、追加の AWS アカウントで証跡を作成し、ログファイルを 1 つの Amazon S3 バケットに集約できます。

コンソールを使用して追加の AWS アカウントで証跡を作成する

CloudTrail コンソールを使用して、追加アカウントで証跡を作成できます。

1. 証跡を作成したいアカウントで AWS Management Console にサインインします。コンソールを使用して証跡を作成するには、「コンソールで証跡を作成する」の手順に従います。

2. ストレージの場所で、既存の S3 バケットを使用を選択します。テキストボックスに、アカウント全体のログファイルの保存に使用するバケットの名前を入力します。

   注記

   バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、複数のアカウントのバケットポリシーの設定 を参照してください。

   

3. [プレフィックス] には、アカウント全体のログファイルの保存に使用するプレフィックスを入力します。バケットポリシーで指定したものとは異なるプレフィックスを使用する場合は、送信先バケットでバケットポリシーを編集して、CloudTrail がこの新しいプレフィックスを使用してバケットにログファイルを書き込めるようにする必要があります。

CLI を使用して追加の AWS アカウントで証跡を作成する

AWS コマンドラインツールを使用して、追加アカウントで証跡を作成し、ログファイルを 1 つの Amazon S3 バケットに集約できます。これらのツールに関する詳細については、「AWS Command Line Interface ユーザーガイド」を参照してください。

create-trail コマンドを使用して以下を指定し、証跡を作成します。

• --name は、証跡の名前を指定します。

• --s3-bucket-name は、アカウント全体のログファイルの保存に使用する Amazon S3 バケットを指定します。

• --s3-prefix は、ログファイルの配信パスのプレフィックスを指定します (オプション)。

• --is-multi-region-trail は、この証跡が、作業中のパーティション内のすべての AWS リージョンのイベントをログ記録するように指定します。

アカウントが AWS リソースを実行しているリージョンごとに、1 つの証跡を作成できます。

次のコマンド例は、AWS CLI を使用して追加のアカウントの証跡を作成する方法を示しています。これらのアカウントのログファイルが、最初のアカウント (この例では 111111111111) で作成したバケットに配信されるようにするには、--s3-bucket-name オプションでバケット名を指定します。Amazon S3 バケット名は、グローバルに一意です。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

コマンドを実行すると、以下のような出力が表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "MyBucketBelongingToAccount111111111111"
}

AWS コマンドラインツールから CloudTrail を使用する方法の詳細については、「CloudTrail コマンドラインリファレンス」を参照してください。