組織の証跡に関する問題のトラブルシューティング - AWS CloudTrail
CloudTrail はイベントを配信していませんCloudTrail は、組織内のメンバーアカウントの Amazon SNS 通知を送信していません

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の証跡に関する問題のトラブルシューティング

このセクションでは、組織の証跡に関する問題のトラブルシューティング方法について説明します。

CloudTrail はイベントを配信していません

CloudTrail が CloudTrail ログファイルを Amazon S3 バケットに配信していない場合

S3 バケットに問題があるかどうかを確認します。

  • CloudTrail コンソールから、証跡の詳細ページを確認します。S3 バケットに問題がある場合、詳細ページには S3 バケットへの配信が失敗したという警告が表示されます。

  • から AWS CLI、 get-trail-status コマンドを実行します。障害が発生した場合、コマンド出力には LatestDeliveryErrorフィールドが含まれます。このフィールドには、指定されたバケットにログファイルを配信しようとしたときに発生した Amazon S3 エラー CloudTrail が表示されます。このエラーは、送信先 S3 バケットに問題がある場合にのみ発生し、タイムアウトしたリクエストでは発生しません。この問題を解決するには、 がバケットに CloudTrail 書き込めるようにバケットポリシーを修正するか、新しいバケットを作成してから、 update-trail を呼び出して新しいバケットを指定します。組織バケットポリシーの詳細については、「組織の証跡のログファイルを保存するために使用する Amazon S3 バケットを作成または更新する」を参照してください。

CloudTrail がログを CloudWatch ログに配信していない場合

CloudWatch Logs ロールポリシーの設定に問題があるかどうかを確認します。

  • CloudTrail コンソールから、証跡の詳細ページを確認します。 CloudWatch ログに問題がある場合、詳細ページには CloudWatch ログの配信が失敗したことを示す警告が表示されます。

  • から AWS CLI、 get-trail-status コマンドを実行します。障害が発生した場合、コマンド出力には LatestCloudWatchLogsDeliveryErrorフィールドが含まれます。このフィールドには、 CloudWatch ログを ログに配信しようとしたときに CloudTrail 発生した CloudWatch ログエラーが表示されます。この問題を解決するには、 CloudWatch ログロールポリシーを修正します。 CloudWatch Logs ロールポリシーの詳細については、「」を参照してください CloudTrail CloudWatch ログを監視に使用するためのロールポリシードキュメント

組織の証跡にメンバーアカウントのアクティビティが表示されない場合

組織証跡のメンバーアカウントのアクティビティが表示されない場合は、以下を確認してください。

  • 証跡のホームリージョンをチェックして、それがオプトインリージョンかどうかを確認します。

    のほとんどの AWS リージョン はデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンについては、「 AWS Account Management リファレンスガイド」の「リージョンを有効または無効にする前の考慮事項」を参照してください。が CloudTrail サポートするリージョンのリストについては、「」を参照してくださいCloudTrail サポートされているリージョン

    組織の証跡がマルチリージョンで、ホームリージョンがオプトインリージョンの場合、マルチリージョン証跡 AWS リージョン が作成された をオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、そのアカウントの欧州 (スペイン) リージョンを有効にしたメンバーアカウントのみが、そのアカウントのアクティビティを組織の証跡に送信します。この問題を解決するには、組織内の各メンバーアカウントでオプトインリージョンを有効にします。オプトインリージョンを有効にする方法については、「 AWS Account Management リファレンスガイド」の「組織内のリージョンを有効または無効にする」を参照してください。

  • 組織リソースベースのポリシーが CloudTrail サービスにリンクされたロールポリシーと競合していないか確認する

    CloudTrail は、 という名前のサービスにリンクされたロールAWSServiceRoleForCloudTrailを使用して組織の証跡をサポートします。このサービスにリンクされたロールにより、 CloudTrail は などの組織リソースに対してアクションを実行できますorganizations:DescribeOrganization。組織のリソースベースのポリシーが、サービスにリンクされたロールポリシーで許可されているアクションを拒否 CloudTrail した場合、 は、サービスにリンクされたロールポリシーで許可されている場合でも、アクションを実行できません。この問題を解決するには、サービスにリンクされたロールポリシーで許可されているアクションを拒否しないように、組織のリソースベースのポリシーを修正します。

CloudTrail は、組織内のメンバーアカウントの Amazon SNS 通知を送信していません

AWS Organizations 組織の証跡を持つメンバーアカウントが Amazon SNS 通知を送信していない場合、SNS トピックポリシーの設定に問題がある可能性があります。 は、リソースの検証に失敗した場合でも、メンバーアカウントに組織の証跡 CloudTrail を作成します。例えば、組織の証跡の SNS トピックには、すべてのメンバーアカウント IDsが含まれていません。SNS トピックポリシーが正しくない場合、認証エラーが発生します。

証跡の SNS トピックポリシーで認証に失敗したかどうかを確認するには:

  • CloudTrail コンソールから、証跡の詳細ページを確認します。認証に失敗した場合、詳細ページには警告が表示されSNS authorization failed、SNS トピックポリシーの修正が示されます。

  • から AWS CLI、 get-trail-status コマンドを実行します。認証に失敗した場合、コマンド出力には フィールドLastNotificationErrorと の値が含まれますAuthorizationError。この問題を解決するには、Amazon SNS トピックポリシーを修正します。Amazon SNS トピックポリシーの詳細については、「」を参照してくださいの Amazon SNS トピックポリシー CloudTrail

SNS トピックとそのサブスクライブの詳細については、Amazon Simple Notification Service デベロッパーガイドのAmazon SNS の開始方法」を参照してください。