AWS CloudTrail および AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail および AWS Organizations

AWS CloudTrailである。AWSサービスは、ガバナンス、コンプライアンス、および運用とリスクの監査を行えるように支援する AWS アカウント 。を使用するAWS CloudTrail管理カウントのユーザーは、組織の証跡を作成して、すべての AWS アカウント その組織の。組織の証跡は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは、Amazon S3 バケット内にある組織の証跡のログファイルにはアクセスできません。これにより、組織内のすべてのアカウントに対してイベントのログ記録戦略を一律に適用および実施できます。

詳細については、「」を参照してください。組織の証跡の作成()AWS CloudTrailユーザーガイド

以下の情報を参考にして、AWS CloudTrailをAWS Organizations。

統合を有効にしたときに作成されるサービスリンクロール

以下のようになりますサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織の管理カウントに自動的に作成されます。このロールにより、CloudTrail は、組織内の組織のアカウント内でサポートされている操作を実行できます。

このロールを削除または変更できるのは、CloudTrail とOrganizations 間の信頼されたアクセスを無効にするか、組織からメンバーアカウントを削除した場合のみです。

  • AWSServiceRoleForCloudTrail

サービスにリンクされたロールによって使用されるサービスプリンシパル

前のセクションで説明したサービスリンクロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。CloudTrail で使用されるサービスリンクロールは、次のサービスプリンシパルへのアクセスを許可します。

  • cloudtrail.amazonaws.com

CloudTrail による信頼されたアクセスの有効化

信頼されたアクセスを有効にするには、」を参照してください。信頼されたアクセスを有効にするために必要なアクセス許可

AWS CloudTrail コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

可能であれば、「」を使用することを強くお勧めします。AWS CloudTrailコンソールまたはツールを使用して、Organizations との統合を可能にします。これにより、することができます。AWS CloudTrailは、サービスに必要なリソースの作成など、必要な構成を実行します。で提供されるツールを使用して統合を有効にできない場合にのみ、これらの手順を実行してください。AWS CloudTrail詳細については、「」を参照してください。このメモ

信頼されたアクセスを有効にする場合は、AWS CloudTrailコンソールまたはツールでは、これらのステップを実行する必要はありません。

[] でサインインする必要があります。AWS Organizations管理アカウントを使用して、組織の証跡を作成します。AWS CloudTrail コンソールから証跡を作成する場合は、信頼されたアクセスが自動的に設定されます。AWS CLI または AWS API を使用して組織の証跡を作成することを選択した場合は、信頼されたアクセスを手動で設定する必要があります。詳細については、「」を参照してください。で信頼済みサービスとしてを有効にするAWS Organizations()AWS CloudTrailユーザーガイド。

信頼されたアクセスを有効にするには、Organizations のAWS CLIコマンドを使用するか、Organizations の API オペレーションをAWSSDK。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを有効にするには

以下を使用できます。AWS CLIコマンドまたは API オペレーションを使用できます。

  • AWS CLI:aws-service-access

    次のコマンドを実行して、有効にします。AWS CloudTrailOrganizations で信頼済みサービスとしてを有効にする

    $ aws organizations enable-aws-service-access \ --service-principal cloudtrail.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

CloudTrail による信頼されたアクセスの無効化

信頼されたアクセスを無効にするアクセス許可の詳細については、」信頼されたアクセスを無効にするために必要なアクセス許可

AWS CloudTrailで信頼されたアクセスを必要とします。AWS Organizationsを使用して、組織の証跡を操作できます。を使用して信頼されたアクセスを無効にする手順は、次のとおりです。AWS Organizations使用しているAWS CloudTrail組織の証跡のために、CloudTrail は組織にアクセスできないためにメンバーアカウントでの証跡は機能しなくなります。組織の証跡は残ります。AWSServiceRoleForCloudTrailCloudTrail ととの統合のために作成されたロールAWS Organizations。信頼されたアクセスを再度有効にすると、CloudTrail は以前のように動作し続けます。証跡を再設定する必要はありません。

管理者のみがAWS Organizations管理アカウントは、AWS CloudTrail。

信頼されたアクセスを無効にするには、Organizations ツールを使用するのが唯一の方法です。

信頼されたアクセスを無効にするには、AWS Organizationsコンソール、OrganizationsAWS CLIコマンドを使用するか、Organizations の API オペレーションをAWSSDK。

AWS Management Console

Organizations コンソールを使用して信頼されたサービスアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに登録します。

  2. リポジトリの []サービスページで、AWS CloudTrailをクリックし、サービスの名前を選択します。

  3. 選択信頼されたアクセスの無効化

  4. 確認ダイアログボックスで [] を入力します。disable[] ボックスの [] で [] を選択します。信頼されたアクセスの無効化

  5. あなただけの管理者である場合AWS Organizationsの管理者にAWS CloudTrailコンソールやツールを使ってそのサービスを無効にできるようになりました。AWS Organizations。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを無効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを無効にするには、コマンドまたは API オペレーションを使用できます。

  • AWS CLI:aws-service-access

    次のコマンドを実行して、無効にします。AWS CloudTrailOrganizations で信頼済みサービスとしてを有効にする

    $ aws organizations disable-aws-service-access \ --service-principal cloudtrail.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess