CloudTrail 証跡を AWS Organizations 証跡に変更するにはどうすればよいですか?
新しい AWS Organizations 組織証跡を作成する代わりに、既存の AWS CloudTrail 証跡を組織証跡に変更したいと考えています。CloudTrail 証跡を組織証跡に変更するにはどうすればよいですか?
解決方法
(前提条件) CloudTrail で信頼されたサービスアクセスをアクティブ化する
「AWS Organizations ユーザーガイド」の「CloudTrail との信頼されたアクセスの有効化」の手順に従います。
CloudTrail を Organizations に統合する方法の詳細については、「AWS CloudTrail および AWS Organizations」を参照してください。
CloudTrail ログファイルの Amazon S3 バケットポリシーを更新して、次を許可します。
- Amazon Simple Storage Service (Amazon S3) バケットにログファイルを配信するための CloudTrail 証跡。
- 組織内のアカウントのログを Amazon S3 バケットに配信するための CloudTrail 証跡。
1. Amazon S3 コンソールを開きます。
2. [Buckets] (バケット) を選択します。
3. [Bucket name] (バケット名) で、CloudTrail ログファイルを含む S3 バケットを選択します。
4. [Permissions] (許可) を選択します。その後、[Bucket Policy] (バケットポリシー) を選択します。
5. 次の例のバケットポリシーステートメントをコピーしてポリシーエディタに貼り付け、[Save] (保存) を選択します。
重要: primary-account-id を Organizations のプライマリアカウント ID に置き換えます。bucket-name を S3 バケット名に置き換えます。org-id を Organizations ID に置き換えます。your-region をご利用の AWS リージョンに置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-name" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
(オプション) CloudWatch Logs を使用して組織の CloudTrail ログファイルをモニタリングするための許可を設定します。
注: 次のステップは、Amazon CloudWatch Logs で CloudTrail ログファイルをモニタリングする場合にのみ必要です。
1. 組織ですべての機能がアクティブ化されていることを確認します。
2. 「AWS Organizations で信頼済みサービスとして CloudTrail を有効にする」の手順に従います。
3. AWS Identity and Access Management (IAM) コンソールを開きます。
4. [Policies] (ポリシー) を選択します。
5. [Policy name] (ポリシー名) で、CloudWatch ロググループ AWS プライマリアカウントに関連付けられている IAM ポリシーを選択します。
6. [Edit policy] (ポリシーを編集) を選択し、次の IAM ポリシーステートメントの例をコピーして貼り付け、[Save] (保存) を選択します。
重要: your-region をご利用の AWS リージョンに置き換えます。primary-account-id を Organizations のプライマリアカウント ID に置き換えます。org-id をご利用の組織 ID に置き換えます。log-group-name を CloudWatch ロググループ名に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*", "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*" ] }, { "Sid": "AWSCloudTrailPutLogEvents", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*", "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*" ] } ] }
7. CloudTrail コンソールを開きます。
8. ナビゲーションペインで、[Trails] (追跡) を選択します。
9. [Trail name] (証跡名) で、証跡の名前を選択します。
10. CloudWatch ログで、編集アイコンを選択します。その後、[Continue] (続行) を選択します。
11. [Role Summary] (ロールの概要) で、[Allow] (許可) を選択します。
CloudTrail 証跡を組織証跡に更新する
1. CloudTrail コンソールを開き、ナビゲーションペインで [Trails] を選択します。
2. [Trail name] (証跡名) で、証跡を選択します。
3. [Trail settings] (証跡の設定) で、編集アイコンを選択します。
4. [Apply trail to my organization] (組織に証跡を適用) で、[Yes] (はい) を選択します。その後、[Save] (保存) を選択します。
関連情報
関連するコンテンツ
AWS公式更新しました 2年前- AWS公式更新しました 2年前
- AWS公式更新しました 2年前
