追加のアカウントで CloudTrail を有効にする - AWS CloudTrail

追加のアカウントで CloudTrail を有効にする

コンソールまたはコマンドラインインターフェイスを使用して、追加の AWS アカウントで CloudTrail を有効にできます。

コンソールを使用して追加の AWS アカウントで CloudTrail を有効にする

CloudTrail コンソールを使用して、追加のアカウントで CloudTrail を有効にできます。

  1. アカウント 222222222222 の認証情報を使用して AWS マネジメントコンソールにサインインし、AWS CloudTrail コンソールを開きます。ナビゲーションバーで、CloudTrail を有効にするリージョンを選択します。

  2. [Get Started Now] を選択します。

  3. 次のページで、[Trail name] ボックスに証跡の名前を入力します。

  4. [Create a new S3 bucket] で、[No] を選択します。アカウント 111111111111 の認証情報でサインインした際にログファイルの保存用として作成したバケットの名前を、テキストボックスに入力します。別のアカウントの S3 バケットを指定してもよいかどうか尋ねる警告が CloudTrail に表示されます。入力したバケットの名前を確認します。

  5. [Advanced] を選択します。

  6. アカウント 111111111111 の認証情報を使用して CloudTrail をオンにする際にログファイルの保存用として入力したのと同じプレフィックスを、[Log file prefix] フィールドに入力します。最初のアカウントで CloudTrail をオンにした際に入力したものとは異なるプレフィックスを使用する場合は、送信先バケットでバケットポリシーを編集して、CloudTrail がこの新しいプレフィックスを使用してバケットにログファイルを書き込めるようにする必要があります。

  7. (オプション) [Yes] または [No] を [SNS notification for every log file delivery?] で選択します。[Yes] を選択した場合は、[SNS topic (new) field] に Amazon SNS トピックの名前を入力します。

    注記

    Amazon SNS はリージョンごとのサービスであるため、トピックを作成する場合、そのトピックは CloudTrail を有効にしたリージョンと同じリージョンに作成されることになります。すべてのリージョンに適用される証跡がある場合は、トピックに適用される適切なポリシーが存在する限り、任意のリージョンの Amazon SNS トピックを選択することができます。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

  8. [Turn On] を選択します。

約 15 分で、CloudTrail はログファイルの発行を開始します。ログファイルには、前述の手順を完了して以降にこのリージョンのアカウントで実行された AWS コールが記録されます。

CLI を使用して追加 CloudTrail アカウントで AWS を有効にする

AWS コマンドラインツールを使用して、追加のアカウントで CloudTrail を有効にし、ログファイルを 1 つの Amazon S3 バケットに集約できます。これらのツールの詳細については、「AWS Command Line Interface ユーザーガイド」を参照してください。

create-trail コマンドを使用して、追加のアカウントで CloudTrail を有効にし、以下を指定します。

  • --name は、証跡の名前を指定します。

  • --s3-bucket-name は、最初のアカウント (この例では 111111111111) で CloudTrail を有効にしたときに作成された、既存の Amazon S3 バケットを指定します。

  • --s3-prefix は、ログファイルの配信パスのプレフィックスを指定します (オプション)。

  • --is-multi-region-trail は、この証跡がすべての AWS リージョンでイベントをログに記録するように指定します。

コンソールを使用して作成する証跡とは異なり、AWS CLI を使用して作成するすべての証跡には、名前を付ける必要があります。アカウントが AWS リソースを実行しているリージョンごとに、1 つの証跡を作成できます。

次のコマンド例は、AWS CLI を使用して追加のアカウントの証跡を作成する方法を示しています。これらのアカウントのログファイルが、最初のアカウント (この例では 111111111111) で作成したバケットに配信されるようにするには、--s3-bucket-name オプションでバケット名を指定します。Amazon S3 バケット名は、グローバルに一意です。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

コマンドを実行すると、以下のような出力が表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "AWSCloudTrailExample", "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "MyBucketBelongingToAccount111111111111" }

AWS コマンドラインツールから CloudTrail を使用する方法の詳細については、「CloudTrail コマンドラインリファレンス」を参照してください。