翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrail および AWS Organizations
AWS CloudTrail は、 のガバナンス、コンプライアンス、運用およびリスクの監査を可能にする AWS のサービスです AWS アカウント。管理アカウントのユーザーは AWS CloudTrail、 を使用して、その組織 AWS アカウント 内のすべての のすべてのイベントを記録する組織の証跡を作成できます。組織の証跡は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにはアクセスできません。これにより、組織内のすべてのアカウントに対してイベントのログ記録戦略を一律に適用および実施できます。
組織の証跡については、AWS CloudTrail ユーザーガイドの組織の証跡の作成を参照してください。
次の情報は、 AWS CloudTrail との統合に役立ちます AWS Organizations。
統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、CloudTrail はサポートされているオペレーションを組織内のアカウントで実行できます。
このロールを削除または変更できるのは、CloudTrail と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
-
AWSServiceRoleForCloudTrail
サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。CloudTrail によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
-
cloudtrail.amazonaws.com
CloudTrail との信頼されたアクセスの有効化
信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。
AWS CloudTrail コンソールから証跡を作成して信頼されたアクセスを有効にすると、信頼されたアクセスが自動的に設定されます (推奨)。 AWS Organizations コンソールを使用して信頼されたアクセスを有効にすることもできます。組織の証跡を作成するには、 AWS Organizations 管理アカウントでサインインする必要があります。
AWS CLI または AWS API を使用して組織の証跡を作成する場合は、信頼されたアクセスを手動で設定する必要があります。詳細については、AWS CloudTrail ユーザーガイドの Enabling CloudTrail as a trusted service in AWS Organizationsを参照してください。
重要
可能な限り、 AWS CloudTrail コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。
信頼されたアクセスを有効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
CloudTrail との信頼されたアクセスの無効化
信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。
AWS CloudTrail では、組織の証跡や組織のイベントデータストアを操作する AWS Organizations ために、 との信頼されたアクセスが必要です。の使用中に を使用して AWS Organizations 信頼されたアクセスを無効にすると AWS CloudTrail、CloudTrail は組織にアクセスできないため、メンバーアカウントのすべての組織の証跡が削除されます。すべての管理アカウントの組織証跡と組織イベントデータストアは、アカウントレベルの証跡とイベントデータストアに変換されます。CloudTrail と AWS Organizations の統合用に作成された AWSServiceRoleForCloudTrail ロールは、アカウント内に残ります。信頼されたアクセスを再度有効にした場合、CloudTrail は既存の証跡やイベントデータストアに対してアクションを実行しません。管理アカウントは、アカウントレベルの証跡とイベントデータストアを更新して、組織に適用する必要があります。
アカウントレベルの証跡またはイベントデータストアを組織証跡または組織イベントデータストアに変換するには、以下を実行します。
-
CloudTrail コンソールから、証跡またはイベントデータストアを更新し、[組織内のすべてのアカウントの有効化] オプションを選択します。
-
から AWS CLI、次の操作を行います。
-
証跡を更新するには、update-trail コマンドを実行し、
--is-organization-trailパラメータを含めます。 -
イベントデータストアを更新するには、update-event-data-store コマンドを実行し、
--organization-enabledパラメータを含めます。
-
で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです AWS CloudTrail。信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations CLI コマンドを実行するか、いずれかの SDK で Organizations API AWS オペレーションを呼び出します。 AWS SDKs
信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
CloudTrail 用の委任管理者アカウントの有効化
Organizations で CloudTrail を使用する場合、CloudTrail の委任管理者として組織内の任意のアカウントを登録できます。このアカウントは、組織に代わって組織の証跡やイベントデータストアを管理できます。委任管理者は、管理アカウントと同じ管理タスクを CloudTrail で実行できる組織のメンバーアカウントです。
最小アクセス許可
CloudTrail の委任管理者を登録できるのは、Organizations 管理アカウントの管理者だけです。
CloudTrail コンソール、あるいは Organizations RegisterDelegatedAdministrator CLI または SDK オペレーションを使用して委任管理者アカウントを登録できます。CloudTrail コンソールを使用して委任管理者を登録するには、「Add a CloudTrail delegated administrator」(委任管理者を登録する) を参照してください。
CloudTrail 用の委任された管理者の無効化
CloudTrail の委任管理者を削除できるのは、Organizations 管理アカウントの管理者だけです。CloudTrail コンソール、あるいは Organizations DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して、委任管理者を削除できます。CloudTrail コンソールを使用して委任管理者を削除する方法については、「Remove a CloudTrail delegated administrator」(CloudTrail の委任管理者を削除する) を参照してください。
