CloudTrail 証跡を AWS Organizations 証跡に変更するにはどうすればよいですか ?

最終更新日: 2020 年 8 月 14 日

新しい証跡を作成する代わりに、AWS CloudTrail 証跡を AWS Organizations 証跡に変更したいと考えています。 

解決方法

CloudTrail ログファイルに対する Amazon Simple Storage Service (Amazon S3) バケットポリシーのアクセス許可を変更します。次に、AWS プライマリアカウントの CloudTrail 証跡を変更し、Organizations 証跡に変更します。

まだ行っていない場合は、手順に従って組織の証跡を作成する準備をします

Amazon S3 バケットポリシーを変更する

1.    Amazon S3 コンソールを開き、[Buckets] を選択します。

2.    [Bucket name] で、CloudTrail ログファイルを含む S3 バケットを選択します。

3.    [Permissions] を選択してから、[Bucket Policy] を選択します。

4.    次のポリシーの例をコピーして貼り付け、[Save] を選択します。

注意: 以下の値を置き換えます。
primary-account-id を、Organizations のプライマリアカウント ID に置き換えます。
bucket-name を S3 バケット名に置き換えます。
org-id を Organizations ID に置き換えます。
your-region の部分は、お使いの AWS リージョンで置き換えます。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

AWS Identity and Access Management (IAM) ロールを変更する

注意: これらのステップは、Amazon CloudWatch Logs で CloudTrail ログファイルをモニタリングする場合にのみ必要です。

1.    組織ですべての機能が有効になっていることを確認します。

2.    手順に従って、CloudTrail を信頼されたサービスとして信頼するように Organizations を設定します

3.    IAM コンソールを開き、[Policies] を選択します。

4.    [Policy name] で、CloudWatch Logs グループ AWS プライマリアカウントに関連付けられている IAM ポリシーを選択します。

5.    [Edit policy] を選択し、次のポリシーの例をコピーして貼り付け、[Save] を選択します。

注意: 以下の値を置き換えます。
your-region の部分は、お使いの AWS リージョンで置き換えます。
primary-account-id を、Organizations のプライマリアカウント ID に置き換えます。
org-id を Organizations ID に置き換えます。
log-group-name を CloudWatch ロググループ名に置き換えます。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

6.    CloudTrail コンソールを開き、ナビゲーションペインで [Trails] を選択します。

7.    [Trail name] で、証跡を選択します。

8.    [CloudWatch Logs] で、編集アイコンを選択し、[Continue] を選択します。

9.    [Role Summary] で、[Allow] を選択します。 

CloudTrail 証跡を Organizations 証跡に更新する

1.    CloudTrail コンソールを開き、ナビゲーションペインで [Trails] を選択します。

2.    [Trail name] で、証跡を選択します。

3.    [Trail settings] で、編集アイコンを選択します。

4.    [Apply trail to my organization] で、[Yes]、[Save] の順に選択します。 


この記事はお役に立ちましたか?


請求に関するサポートまたは技術的なサポートが必要ですか?