CloudTrail 証跡を AWS Organizations 証跡に変更するにはどうすればよいですか?

最終更新日: 2022 年 2 月 9 日

新しい AWS Organizations 組織証跡を作成する代わりに、既存の AWS CloudTrail 証跡を組織証跡に変更したいと考えています。CloudTrail 証跡を組織証跡に変更するにはどうすればよいですか?

解決方法

(前提条件) CloudTrail で信頼されたサービスアクセスをアクティブ化する

「AWS Organizations ユーザーガイド」の「CloudTrail との信頼されたアクセスの有効化」の手順に従います。

CloudTrail を Organizations に統合する方法の詳細については、「AWS CloudTrail および AWS Organizations」を参照してください。

CloudTrail ログファイルの Amazon S3 バケットポリシーを更新して、次を許可します。

  • Amazon Simple Storage Service (Amazon S3) バケットにログファイルを配信するための CloudTrail 証跡。
  • 組織内のアカウントのログを Amazon S3 バケットに配信するための CloudTrail 証跡。

1.    Amazon S3 コンソールを開きます。

2.    [Buckets] (バケット) を選択します。

3.    [Bucket name] (バケット名) で、CloudTrail ログファイルを含む S3 バケットを選択します。

4.    [Permissions] (許可) を選択します。その後、[Bucket Policy] (バケットポリシー) を選択します。

5.    次の例のバケットポリシーステートメントをコピーしてポリシーエディタに貼り付け、[Save] (保存) を選択します。

重要: primary-account-id を Organizations のプライマリアカウント ID に置き換えます。bucket-name を S3 バケット名に置き換えます。org-id を Organizations ID に置き換えます。your-region をご利用の AWS リージョンに置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(オプション) CloudWatch Logs を使用して組織の CloudTrail ログファイルをモニタリングするための許可を設定します。

注: 次のステップは、Amazon CloudWatch Logs で CloudTrail ログファイルをモニタリングする場合にのみ必要です。

1.    組織ですべての機能がアクティブ化されていることを確認します。

2.    「AWS Organizations で信頼済みサービスとして CloudTrail を有効にする」の手順に従います。

3.    AWS Identity and Access Management (IAM) コンソールを開きます。

4.    [Policies] (ポリシー) を選択します。

5.    [Policy name] (ポリシー名) で、CloudWatch ロググループ AWS プライマリアカウントに関連付けられている IAM ポリシーを選択します。

6.    [Edit policy] (ポリシーを編集) を選択し、次の IAM ポリシーステートメントの例をコピーして貼り付け、[Save] (保存) を選択します。

重要: your-region をご利用の AWS リージョンに置き換えます。primary-account-id を Organizations のプライマリアカウント ID に置き換えます。org-id をご利用の組織 ID に置き換えます。log-group-name を CloudWatch ロググループ名に置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.    CloudTrail コンソールを開きます。

8.    ナビゲーションペインで、[Trails] (追跡) を選択します。

9.    [Trail name] (証跡名) で、証跡の名前を選択します。

10.    CloudWatch ログで、編集アイコンを選択します。その後、[Continue] (続行) を選択します。

11.    [Role Summary] (ロールの概要) で、[Allow] (許可) を選択します。

CloudTrail 証跡を組織証跡に更新する

1.    CloudTrail コンソールを開き、ナビゲーションペインで [Trails] を選択します。

2.    [Trail name] (証跡名) で、証跡を選択します。

3.    [Trail settings] (証跡の設定) で、編集アイコンを選択します。

4.    [Apply trail to my organization] (組織に証跡を適用) で、[Yes] (はい) を選択します。その後、[Save] (保存) を選択します。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?