新しい AWS Organizations 組織証跡を作成する代わりに、既存の AWS CloudTrail 証跡を組織証跡に変更したいと考えています。CloudTrail 証跡を組織証跡に変更するにはどうすればよいですか?
解決方法
(前提条件) CloudTrail で信頼されたサービスアクセスをアクティブ化する
「AWS Organizations ユーザーガイド」の「CloudTrail との信頼されたアクセスの有効化」の手順に従います。
CloudTrail を Organizations に統合する方法の詳細については、「AWS CloudTrail および AWS Organizations」を参照してください。
CloudTrail ログファイルの Amazon S3 バケットポリシーを更新して、次を許可します。
- Amazon Simple Storage Service (Amazon S3) バケットにログファイルを配信するための CloudTrail 証跡。
- 組織内のアカウントのログを Amazon S3 バケットに配信するための CloudTrail 証跡。
1. Amazon S3 コンソールを開きます。
2. [Buckets] (バケット) を選択します。
3. [Bucket name] (バケット名) で、CloudTrail ログファイルを含む S3 バケットを選択します。
4. [Permissions] (許可) を選択します。その後、[Bucket Policy] (バケットポリシー) を選択します。
5. 次の例のバケットポリシーステートメントをコピーしてポリシーエディタに貼り付け、[Save] (保存) を選択します。
重要: primary-account-id を Organizations のプライマリアカウント ID に置き換えます。bucket-name を S3 バケット名に置き換えます。org-id を Organizations ID に置き換えます。your-region をご利用の AWS リージョンに置き換えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::bucket-name"
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
},
{
"Sid": "AWSCloudTrailWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
(オプション) CloudWatch Logs を使用して組織の CloudTrail ログファイルをモニタリングするための許可を設定します。
注: 次のステップは、Amazon CloudWatch Logs で CloudTrail ログファイルをモニタリングする場合にのみ必要です。
1. 組織ですべての機能がアクティブ化されていることを確認します。
2. 「AWS Organizations で信頼済みサービスとして CloudTrail を有効にする」の手順に従います。
3. AWS Identity and Access Management (IAM) コンソールを開きます。
4. [Policies] (ポリシー) を選択します。
5. [Policy name] (ポリシー名) で、CloudWatch ロググループ AWS プライマリアカウントに関連付けられている IAM ポリシーを選択します。
6. [Edit policy] (ポリシーを編集) を選択し、次の IAM ポリシーステートメントの例をコピーして貼り付け、[Save] (保存) を選択します。
重要: your-region をご利用の AWS リージョンに置き換えます。primary-account-id を Organizations のプライマリアカウント ID に置き換えます。org-id をご利用の組織 ID に置き換えます。log-group-name を CloudWatch ロググループ名に置き換えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
"arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
"arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
]
}
]
}
7. CloudTrail コンソールを開きます。
8. ナビゲーションペインで、[Trails] (追跡) を選択します。
9. [Trail name] (証跡名) で、証跡の名前を選択します。
10. CloudWatch ログで、編集アイコンを選択します。その後、[Continue] (続行) を選択します。
11. [Role Summary] (ロールの概要) で、[Allow] (許可) を選択します。
CloudTrail 証跡を組織証跡に更新する
1. CloudTrail コンソールを開き、ナビゲーションペインで [Trails] を選択します。
2. [Trail name] (証跡名) で、証跡を選択します。
3. [Trail settings] (証跡の設定) で、編集アイコンを選択します。
4. [Apply trail to my organization] (組織に証跡を適用) で、[Yes] (はい) を選択します。その後、[Save] (保存) を選択します。
関連情報
AWS Organizations の開始方法を教えてください
update-trail を実行して組織証跡を更新する