複数の証跡の作成 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

複数の証跡の作成

CloudTrail ログファイルを使用して、 アカウントの運用上またはセキュリティ上の問題をトラブルシューティングできます AWS 。ユーザーの種類ごとに複数の証跡を作成すれば、それらのユーザーが独自の証跡を作成し、管理できるようになります。証跡のログファイルの配信先としては、個別の S3 バケットか、共有の S3 バケットを設定できます。

注記

アカウントの各 の管理イベントの最初のコピー AWS リージョン は無料です。同じ管理イベントを他の宛先に配信する証跡をさらに作成した場合、それ以降の配信には CloudTrail コストが発生します。 CloudTrail コストの詳細については、「 AWS CloudTrail の料金」および「」を参照してください CloudTrail 証跡コストの管理

例えば、次のような要件に応じて、ユーザーごとの証跡を作成できます。

  • セキュリティ管理者が欧州 (アイルランド) リージョンの証跡を作成し、KMS のログファイル暗号化を設定できるようにします。この証跡では、欧州 (アイルランド) リージョンの S3 バケットにログファイルを配信します。

  • IT 監査人は、欧州 (アイルランド) リージョンに証跡を作成し、ログファイルの整合性検証を設定して、ログファイルが CloudTrail 配信されてから変更されていないことを確認します。この証跡では、欧州 (フランクフルト) リージョンの S3 バケットにログファイルを配信するよう設定します。

  • デベロッパーは、欧州 (フランクフルト) リージョンに証跡を作成し、特定の API アクティビティの通知を受信するように CloudWatch アラームを設定します。この証跡では、ログファイルの整合性確認用に設定された証跡と同じ S3 バケットを共有します。

  • もう 1 人のデベロッパーが欧州 (フランクフルト) リージョンの証跡を作成し、SNS を設定できるようにします。ログファイルは、欧州 (フランクフルト) リージョンの個別の S3 バケットに配信します。

次の図は、この例を説明したものです。

複数の証跡のログファイル配信の例
注記

ごとに最大 5 つの証跡を作成できます AWS リージョン。マルチリージョンの証跡は、リージョンごとに 1 つの証跡としてカウントされます。

リソースレベルのアクセス許可を使用して、 で特定のオペレーションを実行するユーザーの機能を管理できます CloudTrail。

たとえば、あるユーザーに証跡のアクティビティ表示権限を付与しながらも、ログ記録の開始権限や停止権限は制限するといったことが可能です。また、証跡の作成や削除を行えるフル権限は別のユーザーに付与するといったことも可能です。これにより、証跡とユーザーアクセスを詳細に制御することができます。

リソースレベルのアクセス許可の詳細については、「例: 特定の証跡に対するアクションのポリシーの作成と適用」を参照してください

複数の証跡の詳細については、CloudTrail FAQsを参照してください。