AWS CloudTrail: および AWS Organizations

AWS CloudTrail は、AWS アカウント のガバナンス、コンプライアンス、および運用とリスクの監査を行えるように支援する AWS サービスです。AWS CloudTrail を使用すると、管理アカウントのユーザーは組織の証跡を作成して、組織のすべての AWS アカウント に関するすべてのイベントをログに記録できます。組織の証跡は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにはアクセスできません。これにより、組織内のすべてのアカウントに対してイベントのログ記録戦略を一律に適用および実施できます。

組織の証跡については、AWS CloudTrail ユーザーガイドの組織の証跡の作成を参照してください。

AWS CloudTrail と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、CloudTrail はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、CloudTrail と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

• AWSServiceRoleForCloudTrail

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。CloudTrail によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

• cloudtrail.amazonaws.com

CloudTrail との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS CloudTrail コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に AWS CloudTrail コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS CloudTrail で実行可能になります。ここに示す手順は、統合の有効化に AWS CloudTrail が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS CloudTrail コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

組織の証跡を作成するには、AWS Organizations 管理アカウントでサインインする必要があります。AWS CloudTrail コンソールから証跡を作成する場合は、信頼されたアクセスが自動的に設定されます。AWS CLI または AWS API を使用して組織の証跡を作成することを選択した場合は、信頼されたアクセスを手動で設定する必要があります。詳細については、AWS CloudTrail ユーザーガイドの Enabling CloudTrail as a trusted service in AWS Organizationsを参照してください。

信頼されたアクセスの有効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

• AWS CLI: enable-aws-service-access

  次のコマンドを実行し、AWS CloudTrail を Organizations で信頼されたサービスとして有効にすることができます。

  $ aws organizations enable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: EnableAWSServiceAccess

CloudTrail との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS CloudTrail には、組織の証跡に関する処理を行うにあたり、AWS Organizations との信頼されたアクセスが必要です。組織の証跡のために AWS CloudTrail を使用している最中に、AWS Organizations を使用して信頼されたアクセスを無効にすると、CloudTrail が組織にアクセスできなくなるため、メンバーアカウントでの証跡は機能しなくなります。組織の証跡、および CloudTrail と AWS Organizations の統合のために作成された AWSServiceRoleForCloudTrail ロールは残ります。信頼されたアクセスを再度有効にすると、CloudTrail は以前と同様のオペレーションを再開します。証跡を再設定する必要はありません。

AWS Organizations 管理アカウントの管理者だけが AWS CloudTrail との信頼されたアクセスを無効にできます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Services] (サービス) ページで AWS CloudTrail の行を探し、サービスの名前を選択します。

3. [Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

5. AWS Organizations だけの管理者である場合は、AWS CloudTrail の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

• AWS CLI: disable-aws-service-access

  次のコマンドを実行し、AWS CloudTrail を Organizations で信頼されたサービスとして無効にすることができます。

  $ aws organizations disable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: DisableAWSServiceAccess