証跡を複数作成する
CloudTrail ログファイルは、AWS アカウント内でのオペレーションやセキュリティに関する問題をトラブルシューティングするために使用できます。ユーザーの種類ごとに複数の証跡を作成すれば、それらのユーザーが独自の証跡を作成し、管理できるようになります。証跡のログファイルの配信先としては、個別の S3 バケットか、共有の S3 バケットを設定できます。
注記
アカウントの各 AWS リージョンでの管理イベントの最初のコピーは無料です。同じ管理イベントを他の送信先に配信する証跡を多く作成すると、それ以降の配信に CloudTrail のコストが発生します。CloudTrail 料金の詳細については、「AWS CloudTrail の料金
例えば、次のような要件に応じて、ユーザーごとの証跡を作成できます。
-
セキュリティ管理者が欧州 (アイルランド) リージョンの証跡を作成し、KMS のログファイル暗号化を設定できるようにします。この証跡では、欧州 (アイルランド) リージョンの S3 バケットにログファイルを配信します。
-
IT 監査者が欧州 (アイルランド) リージョンの証跡を作成し、CloudTrail からの配信以降にログファイルが変更されていないことを確認するためのログファイル整合性検証を設定できるようにします。この証跡では、欧州 (フランクフルト) リージョンの S3 バケットにログファイルを配信するよう設定します。
-
デベロッパーが欧州 (フランクフルト) リージョンの証跡を作成し、特定の API アクティビティについて通知を受け取るための CloudWatch アラームを設定できるようにします。この証跡では、ログファイルの整合性確認用に設定された証跡と同じ S3 バケットを共有します。
-
もう 1 人のデベロッパーが欧州 (フランクフルト) リージョンの証跡を作成し、SNS を設定できるようにします。ログファイルは、欧州 (フランクフルト) リージョンの個別の S3 バケットに配信します。
次の図は、この例を説明したものです。
注記
証跡は AWS リージョンごとに最大 5 つ作成できます。マルチリージョン証跡は、リージョンごとに 1 つの証跡としてカウントされます。
リソースレベルのアクセス許可を使用して、ユーザーが CloudTrail に対して実行できるオペレーションを管理することもできます。
たとえば、あるユーザーに証跡のアクティビティ表示権限を付与しながらも、ログ記録の開始権限や停止権限は制限するといったことが可能です。また、証跡の作成や削除を行えるフル権限は別のユーザーに付与するといったことも可能です。これにより、証跡とユーザーアクセスを詳細に制御することができます。
リソースレベルのアクセス許可の詳細については、「例: 特定の証跡に対するアクションのポリシーの作成と適用」を参照してください
複数の証跡の詳細については、「CloudTrail のよくある質問