翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用して組織の証跡を作成する AWS CLI
AWS CLIを使用して組織の証跡を作成できます。 AWS CLI は、追加の機能とコマンドで定期的に更新されます。成功するためには、開始する前に AWS CLI 最新バージョンをインストールまたは更新していることを確認してください。
**注記**
このセクションの例は、組織の証跡の作成と更新に固有のものです。を使用して証跡 AWS CLI を管理する例については、[を使用した証跡の管理 AWS CLI](cloudtrail-additional-cli-commands.md)「」および「」を参照してください[を使用した CloudWatch Logs モニタリングの設定 AWS CLI](send-cloudtrail-events-to-cloudwatch-logs.md#send-cloudtrail-events-to-cloudwatch-logs-cli)。を使用して組織の証跡を作成または更新する場合は AWS CLI、十分なアクセス許可を持つ管理アカウントまたは委任管理者アカウントの AWS CLI プロファイルを使用する必要があります。組織の証跡を非組織の証跡に変換する場合は、組織の管理アカウントを使用する必要があります。
組織の証跡に使用する Amazon S3 バケットを十分なアクセス許可で設定する必要があります。
## 組織の証跡のログファイルを保存するために使用する Amazon S3 バケットを作成または更新する
組織の証跡のログファイルを受信するには、Amazon S3 バケットを指定する必要があります。このバケットには、CloudTrail が組織のログファイルをバケットに入れることを許可するポリシーが必要です。
以下は、組織の管理アカウントが所有する *amzn-s3-demo-bucket* という名前が付けられた Amazon S3 バケット用ポリシのー例です。*amzn-s3-demo-bucket*、*region*、*managementAccountID*、*trailName*、*o-organizationID* を組織の値に置き換える
このバケットには、3 つのステートメントがあります。
+ 最初のステートメントで、CloudTrail は Amazon S3 バケット上の Amazon S3 `GetBucketAcl` アクションを呼び出すことができます。
+ 2 番目のステートメントでは、証跡が組織の証跡からそのアカウントの証跡にのみ変更された場合にログに記録することを許可します。
+ 3 番目のステートメントでは、組織証跡をログに記録することが可能になります。
ポリシー例には、Amazon S3 バケットポリシーの `aws:SourceArn` 条件キーが含まれています。IAM グローバル条件キー `aws:SourceArn` は、CloudTrail が特定の 1 つまたは複数の証跡に対してのみ S3 バケットに書き込めるようにするのに役立ちます。組織の証跡の場合、`aws:SourceArn` の値は管理アカウントで保持され、管理アカウント ID を使用する証跡の ARN である必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/managementAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailOrganizationWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/o-organizationID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
}
]
}
```
------
このポリシー例では、メンバーアカウントのユーザーが組織用に作成されたログファイルにアクセスすることを許可していません。デフォルトでは、組織のログファイルは管理アカウントにのみアクセスできます。メンバーアカウントの IAM ユーザーに対して Amazon S3 バケットへの読み取りアクセスを許可する方法については、「[AWS アカウント間の CloudTrail ログファイルの共有](cloudtrail-sharing-logs.md)」を参照してください。
## で CloudTrail を信頼されたサービスとして有効にする AWS Organizations
組織の証跡を作成する前に、まず Organizations のすべての機能を有効化する必要があります。詳細については、「[自分の組織のすべての機能を有効化する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。または、管理アカウントで十分なアクセス許可を持つプロファイルを使用して、次のコマンドを実行します。
```
aws organizations enable-all-features
```
すべての機能を有効化したら、CloudTrail を信頼できるサービスとして信頼するように Organizations を設定する必要があります。
AWS Organizations と CloudTrail の間に信頼されたサービス関係を作成するには、ターミナルまたはコマンドラインを開き、管理アカウントのプロファイルを使用します。以下の例のように、`aws organizations enable-aws-service-access` コマンドを実行します。
```
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
```
## 「create-trail の使用」
### すべてのリージョンに適用される組織の証跡の作成
すべてのリージョンに適用される組織の証跡を作成するには、`--is-organization-trail` と `--is-multi-region-trail` のオプションを追加します。
**注記**
を使用して組織の証跡を作成する場合は AWS CLI、十分なアクセス許可を持つ管理アカウントまたは委任管理者アカウントの AWS CLI プロファイルを使用する必要があります。
次の例では、すべてのリージョンから `amzn-s3-demo-bucket` という既存のバケットにログを配信する組織の証跡を作成します。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail --is-multi-region-trail
```
証跡がすべてのリージョンに存在することを確認するために、出力の `IsOrganizationTrail` および `IsMultiRegionTrail` パラメータは両方とも `true` に設定されます。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**注記**
証跡のログ記録を開始するには `start-logging` コマンドを実行します。詳細については、「[証跡のログ記録の停止と開始](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands)」を参照してください。
### 単一リージョンの証跡としての組織の証跡の作成
次のコマンドは、単一リージョンの証跡とも呼ばれる AWS リージョン単一の でイベントのみをログに記録する組織の証跡を作成します。イベントがログに記録される AWS リージョンは、 の設定プロファイルで指定されたリージョンです AWS CLI。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail
```
詳細については、「[CloudTrail リソース、Amazon S3 バケット、KMS キーの命名要件](cloudtrail-trail-naming-requirements.md)」を参照してください。
サンプル出力:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
デフォルトでは、`create-trail` コマンドはログファイルの検証を有効にしない単一リージョンの証跡を作成します。
**注記**
証跡のログ記録を開始するには `start-logging` コマンドを実行します。
## **update-trail** を実行して組織証跡を更新する
`update-trail` コマンドを実行して、組織の証跡の設定を変更したり、単一の AWS アカウントの既存の証跡を組織全体に適用したりできます。`update-trail` コマンドは、証跡が作成されたリージョンからしか実行できないことに注意してください。
**注記**
AWS CLI またはいずれかの AWS SDKs を使用して証跡を更新する場合は、証跡のバケットポリシーがup-to-dateであることを確認します。詳細については、「[を使用して組織の証跡を作成する AWS CLI](#cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli)」を参照してください。
で組織の証跡を更新するときは AWS CLI、十分なアクセス許可を持つ管理アカウントまたは委任管理者アカウントのプロファイルを使用する必要があります AWS CLI 。組織の証跡を非組織の証跡に変換する場合は、組織の管理アカウントを使用する必要があります。管理アカウントはすべての組織リソースの所有者であるためです。
CloudTrail は、リソースの検証に失敗した場合でも、メンバーアカウントの組織の証跡を更新します。検証の失敗例を次に示します。
Amazon S3 バケットポリシーに誤りがある
Amazon SNS トピックポリシーに誤りがある
CloudWatch Logs ロググループに配信できない
KMS キーを使用して暗号化するアクセス許可が不十分
CloudTrail アクセス許可を持つメンバーアカウントは、CloudTrail コンソールで証跡の詳細ページを表示するか、 コマンドを実行して AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)、組織の証跡の検証の失敗を確認できます。
### 既存の証跡を組織に適用する
単一の AWS アカウントではなく組織にも適用されるように既存の証跡を変更するには、次の例に示すように、 `--is-organization-trail`オプションを追加します。
**注記**
管理アカウントを使用して、既存の非組織の証跡を組織の証跡に変更します。
```
aws cloudtrail update-trail --name my-trail --is-organization-trail
```
証跡が組織に適用されるようになったことを確認するために、出力の `IsOrganizationTrail` パラメータは `true` の値を持ちます。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
前述の例では、証跡はマルチリージョン証跡として構成されています (`"IsMultiRegionTrail": true`)。単一のリージョンにのみ適用される証跡は、出力には `"IsMultiRegionTrail": false` と表示されます。
### 単一リージョン組織の証跡からマルチリージョン組織の証跡への変換
既存の単一リージョン組織の証跡をマルチリージョン組織の証跡に変換するには、次の例に示すように `--is-multi-region-trail` オプションを追加します。
```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```
証跡がマルチリージョンになったことを確認するために、出力の `IsMultiRegionTrail` パラメータに `true` の値があることを確認します。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```