組織のイベントデータストアを作成するアカウントレベルのイベントデータストアを組織に適用する委任管理者のデフォルトのリソースポリシー追加リソース

組織のイベントデータストアについて

で組織を作成した場合は AWS Organizations、その組織 AWS アカウント内のすべてののすべてのイベントをログに記録する組織イベントデータストアを作成できます。組織のイベントデータストアは、すべての AWS リージョンまたは現在のリージョンに適用できます。組織のイベントデータストアを使用して、 AWS外からイベントを収集することはできません。

管理アカウントまたは委任された管理者アカウントのいずれかを使用して、組織のイベントデータストアを作成することができます。委任された管理者が組織のイベントデータストアを作成しても、組織のイベントデータストアは組織の管理アカウントに存在します。これは、管理アカウントがすべての組織リソースの所有権を保持するためです。

組織の管理アカウントは、アカウントレベルのイベントデータストアを更新して組織に適用することができます。

組織のイベントデータストアが組織への適用として指定された場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。デフォルトでは、メンバーアカウントは組織のイベントデータストアにアクセスできず、組織のイベントデータストアに対してクエリを実行することもできません。

次の表は、 AWS Organizations 組織内の管理アカウントと委任管理者アカウントの機能を示しています。

機能	管理アカウント	委任された管理者アカウント
委任された管理者アカウントを登録または削除する。	はい	いいえ
イベントまたは AWS Config 設定項目の組織 AWS CloudTrail イベントデータストアを作成します。	はい	はい
組織のイベントデータストアでの Insights の有効化。	はい	いいえ
組織のイベントデータストアの更新。	はい	はい ¹
組織のイベントデータストアでイベントの取り込みを開始および停止します。	はい	はい
組織のイベントデータストアで Lake クエリフェデレーションを有効にする。²	はい	はい
組織のイベントデータストアでの Lake クエリフェデレーションの無効化。	はい	はい
組織のイベントデータストアの削除。	はい	はい
イベントデータストアに証跡イベントをコピーする。	はい	いいえ
組織のイベントデータストアでのクエリ実行。	はい	はい
組織のイベントデータストアのマネージドダッシュボードを表示します。	はい	いいえ
組織のイベントデータストアの Highlights ダッシュボードを有効にします。	はい	いいえ
組織のイベントデータストアをクエリするカスタムダッシュボードのウィジェットを作成します。	はい	いいえ

¹ 組織のイベントデータストアをアカウントレベルのイベントデータストアに変換したり、アカウントレベルのイベントデータストアを組織のイベントデータストアに変換したりできるのは管理アカウントだけです。組織のイベントデータストアは管理アカウントにのみ存在するため、委任された管理者はこれらのアクションを実行できません。組織のイベントデータストアをアカウントレベルのイベントデータストアに変換した場合は、イベントデータストアにアクセスできるのは管理アカウントだけになります。同様に、組織のイベントデータストアに変換できるのは、管理アカウント内のアカウントレベルのイベントデータストアだけです。

²組織のイベントデータストアでフェデレーションを有効にできるのは、委任された管理者アカウントの 1 つ、または管理アカウントだけです。他の委任管理者アカウントは、Lake Formation のデータ共有機能を使用すると、情報をクエリし共有することが可能です。組織の管理アカウントだけでなく委任された管理者アカウントも、フェデレーションを無効化することができます。

組織のイベントデータストアを作成する

組織の管理アカウントまたは委任された管理者アカウントは、組織のイベントデータストアを作成して、 CloudTrail イベント (管理イベント、データイベント) または AWS Config 設定項目を収集できます。

注記

証跡イベントをイベントデータストアにコピーできるのは、組織の管理アカウントのみです。

CloudTrail console

コンソールを使用して組織イベントデータストアを作成するには

CloudTrail イベント用のイベントデータストアの作成手順の手順に従って、 CloudTrail 管理イベントまたはデータイベント用の組織イベントデータストアを作成します。

または

AWS Config 「設定項目用のイベントデータストアの作成」の手順に従って、設定項目用の AWS Config 組織のイベントデータストアを作成します。
[イベントの選択] ページで、[組織内のすべてのアカウントに対して有効にする] を選択します。

AWS CLI

組織のイベントデータストアを作成するには、 create-event-data-store コマンドを実行し、 --organization-enabledオプションを含めます。

次のコマンド例では AWS CLI create-event-data-store、すべての管理イベントを収集する組織イベントデータストアを作成します。はデフォルトで管理イベント CloudTrail をログに記録するため、イベントデータストアがすべての管理イベントをログに記録し、データイベントを収集していない場合は、高度なイベントセレクタを指定する必要はありません。


aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

以下に、応答の例を示します。


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

次のコマンド例では AWS CLI create-event-data-store、 AWS Config 設定項目config-items-org-edsを収集するという名前の組織イベントデータストアを作成します。設定項目を収集するには、高度なイベントセレクタで eventCategory フィールドを ConfigurationItem に指定します。


aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

アカウントレベルのイベントデータストアを組織に適用する

組織の管理アカウントは、アカウントレベルのイベントデータストアを変換して組織に適用することができます。

委任管理者のデフォルトのリソースポリシー

CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する、組織イベントデータストアDelegatedAdminResourcePolicyのという名前のリソースポリシーを自動的に生成します。のアクセス許可DelegatedAdminResourcePolicyは、の委任管理者アクセス許可から取得されます AWS Organizations。

の目的はDelegatedAdminResourcePolicy、リソースベースのポリシーが組織のイベントデータストアにアタッチされ、プリンシパルが組織のイベントデータストアでアクションを実行することを許可または拒否する場合に、委任管理者アカウントが組織に代わって組織のイベントデータストアを管理し、組織のイベントデータストアへのアクセスが意図せずに拒否されないようにすることです。

CloudTrail はDelegatedAdminResourcePolicy、組織のイベントデータストアに提供されたリソースベースのポリシーと連動して評価します。委任された管理者アカウントは、提供されたリソースベースのポリシーに、委任された管理者アカウントが組織イベントデータストアで実行できるアクションの実行を明示的に拒否するステートメントが含まれている場合にのみ、アクセスを拒否されます。

このDelegatedAdminResourcePolicyポリシーは、次の場合に自動的に更新されます。

管理アカウントは、組織イベントデータストアをアカウントレベルのイベントデータストアに変換するか、アカウントレベルのイベントデータストアを組織イベントデータストアに変換します。
組織の変更があります。例えば、管理アカウントは CloudTrail 委任管理者アカウントを登録または削除します。

ポリシーは、 CloudTrail コンソールの委任管理者リソースポリシーセクションで表示 up-to-dateするか、コマンドを実行して AWS CLI get-resource-policy組織のイベントデータストアARNのを渡すことで表示できます。

次の例では、組織のイベントデータストアで get-resource-policy コマンドを実行します。


aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

次の出力例は、提供されたリソースベースのポリシーと、委任管理者アカウント 333333333333および用にDelegatedAdminResourcePolicy生成されたの両方を示しています111111111111。


{
  "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207",
  "ResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "EdsPolicyA",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::666666666666:root"
      },
      "Action": [
        "cloudtrail:geteventdatastore",
        "cloudtrail:startquery",
        "cloudtrail:describequery",
        "cloudtrail:cancelquery",
        "cloudtrail:generatequery",
        "cloudtrail:generatequeryresultssummary"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  },
  "DelegatedAdminResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": ["333333333333", "111111111111"]
      },
      "Action": [
        "cloudtrail:AddTags",
        "cloudtrail:CancelQuery",
        "cloudtrail:CreateEventDataStore",
        "cloudtrail:DeleteEventDataStore",
        "cloudtrail:DescribeQuery",
        "cloudtrail:DisableFederation",
        "cloudtrail:EnableFederation",
        "cloudtrail:GenerateQuery",
        "cloudtrail:GenerateQueryResultsSummary",
        "cloudtrail:GetEventConfiguration",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetInsightSelectors",
        "cloudtrail:GetQueryResults",
        "cloudtrail:ListEventDataStores",
        "cloudtrail:ListQueries",
        "cloudtrail:ListTags",
        "cloudtrail:RemoveTags",
        "cloudtrail:RestoreEventDataStore",
        "cloudtrail:UpdateEventDataStore",
        "cloudtrail:StartEventDataStoreIngestion",
        "cloudtrail:StartQuery",
        "cloudtrail:StopEventDataStoreIngestion",
        "cloudtrail:UpdateEventDataStore"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  }
}

追加リソース

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

を使用した CloudTrail Lake フェデレーションリソースの管理 AWS Lake Formation

統合