投稿日: Nov 8, 2022
本日、AWS CloudTrail は、委任管理者アカウントのサポートを発表しました。これにより、お客様が、AWS Organizations の管理アカウント以外のアカウントから、組織証跡と CloudTrail Lake イベントデータストアを管理できるようになります。委任管理者のサポートにより、管理アカウントが、CloudTrail の管理アクションを、セキュリティおよびログメンバーアカウントなどの組織のメンバーアカウントに委任できるため、顧客に対して柔軟な対応が可能になります。この機能では、組織証跡または CloudTrail Lake イベントデータストアリソースが、委任管理者アカウントによって作成および管理されていても、その組織の管理アカウントは、すべての CloudTrail 組織リソースの所有者のままになります。これは顧客が組織全体の CloudTrail 監査ログの連続性を維持するうえで役に立ち、AWS Organizations で組織に変更が行われても、混乱を回避することができます。
管理アカウントでメンバーアカウントを CloudTrail の委任管理者として登録または登録解除するには、CloudTrail コンソールの設定ページか、AWS CLI または API を使用します。管理アカウントが、メンバーアカウントを委任管理者として指定すると、委任管理者アカウントのユーザーとロールは、組織のイベントデータストアおよび組織証跡に対して、作成、更新、クエリ、削除などの管理オペレーションを実行することができます。
委任管理者のサポートは、中国 (北京、Sinnet が運営) と中国 (寧夏、NWCD が運営) 以外の、AWS CloudTrail が利用可能なすべての AWS リージョンでご利用いただけます。この機能を有効にするために追加料金はかかりません。CloudTrail Lake と証跡の委任管理者の詳細については、こちらのドキュメントをご覧ください。