翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudTrail および AWS Organizations
<a name="services-that-can-integrate-cloudtrail"></a>

AWS CloudTrail は、 のガバナンス、コンプライアンス、運用およびリスク監査を有効にするのに役立つ AWS サービスです AWS アカウント。管理アカウントのユーザーは AWS CloudTrail、 を使用して、その組織 AWS アカウント 内のすべての のすべてのイベントを記録する組織の証跡を作成できます。組織の証跡は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにはアクセスできません。これにより、組織内のすべてのアカウントに対してイベントのログ記録戦略を一律に適用および実施できます。

組織の証跡については、*AWS CloudTrail ユーザーガイド*の[組織の証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)を参照してください。

次の情報は、 AWS CloudTrail との統合に役立ちます AWS Organizations。



## 統合を有効にする際に作成されるサービスにリンクされたロール
<a name="integrate-enable-slr-cloudtrail"></a>

信頼されたアクセスを有効にすると、以下の[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)が組織の管理アカウントに自動的に作成されます。このロールにより、CloudTrail はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、CloudTrail と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
+ `AWSServiceRoleForCloudTrail`

## サービスにリンクされたロールで使用されるサービスプリンシパル
<a name="integrate-enable-svcprin-cloudtrail"></a>

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。CloudTrail によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
+ `cloudtrail.amazonaws.com`

## CloudTrail との信頼されたアクセスの有効化
<a name="integrate-enable-ta-cloudtrail"></a>

信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。

 AWS CloudTrail コンソールから証跡を作成して信頼されたアクセスを有効にすると、信頼されたアクセスが自動的に設定されます (推奨）。 AWS Organizations コンソールを使用して信頼されたアクセスを有効にすることもできます。組織の証跡を作成するには、 AWS Organizations 管理アカウントでサインインする必要があります。

 AWS CLI または AWS API を使用して組織の証跡を作成する場合は、信頼されたアクセスを手動で設定する必要があります。詳細については、*AWS CloudTrail ユーザーガイド*の [Enabling CloudTrail as a trusted service in AWS Organizations](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service)を参照してください。

**重要**  
 可能な限り、 AWS CloudTrail コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。

信頼されたアクセスを有効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには**  
信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  次のコマンドを実行して、Organizations で信頼されたサービス AWS CloudTrail として を有効にします。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## CloudTrail との信頼されたアクセスの無効化
<a name="integrate-disable-ta-cloudtrail"></a>

信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。

 AWS CloudTrail では、組織の証跡と組織のイベントデータストアを操作する AWS Organizations ために、 との信頼されたアクセスが必要です。の使用中に を使用して AWS Organizations 信頼されたアクセスを無効にすると AWS CloudTrail、CloudTrail は組織にアクセスできないため、メンバーアカウントのすべての組織証跡が削除されます。すべての管理アカウントの組織証跡と組織イベントデータストアは、アカウントレベルの証跡とイベントデータストアに変換されます。CloudTrail と AWS Organizations の統合用に作成された `AWSServiceRoleForCloudTrail` ロールは、アカウント内に残ります。信頼されたアクセスを再度有効にした場合、CloudTrail は既存の証跡やイベントデータストアに対してアクションを実行しません。管理アカウントは、アカウントレベルの証跡とイベントデータストアを更新して、組織に適用する必要があります。

アカウントレベルの証跡またはイベントデータストアを組織証跡または組織イベントデータストアに変換するには、以下を実行します。
+ CloudTrail コンソールから、[証跡](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)または[イベントデータストア](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html)を更新し、**[組織内のすべてのアカウントの有効化]** オプションを選択します。
+ から AWS CLI、次の操作を行います。
  + 証跡を更新するには、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html) コマンドを実行し、`--is-organization-trail` パラメータを含めます。
  + イベントデータストアを更新するには、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) コマンドを実行し、`--organization-enabled` パラメータを含めます。

で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです AWS CloudTrail。信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations CLI コマンドを実行するか、いずれかの SDK で Organizations API AWS オペレーションを呼び出します。 AWS SDKs

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS マネジメントコンソール ]

**Organizations コンソールを使用して信頼されたアクセスを無効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. サービスのリストで **[AWS CloudTrail]** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. **[ AWS CloudTrailの信頼されたアクセスを無効にする]** ダイアログボックスで、**[無効にする]** と入力して確定し、**[信頼されたアクセスを無効にする]** を選択します。

1. の管理者のみの場合は AWS Organizations、そのサービスがサービスコンソールまたはツール を使用して を操作する AWS Organizations ことを無効にできるようになった AWS CloudTrail ことを管理者に伝えます。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**  
次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にできます。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  次のコマンドを実行して、Organizations で信頼されたサービス AWS CloudTrail として を無効にします。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## CloudTrail 用の委任管理者アカウントの有効化
<a name="integrate-enable-da-cloudtrail"></a>

Organizations で CloudTrail を使用する場合、CloudTrail の委任管理者として組織内の任意のアカウントを登録できます。このアカウントは、組織に代わって組織の証跡やイベントデータストアを管理できます。委任管理者は、管理アカウントと同じ管理タスクを CloudTrail で実行できる組織のメンバーアカウントです。

**最小アクセス許可**  
CloudTrail の委任管理者を登録できるのは、Organizations 管理アカウントの管理者だけです。

CloudTrail コンソール、あるいは Organizations `RegisterDelegatedAdministrator` CLI または SDK オペレーションを使用して委任管理者アカウントを登録できます。CloudTrail コンソールを使用して委任管理者を登録するには、「[Add a CloudTrail delegated administrator](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-add-delegated-administrator.html)」(委任管理者を登録する) を参照してください。

## CloudTrail 用の委任された管理者の無効化
<a name="integrate-disable-da-cloudtrail"></a>

 CloudTrail の委任管理者を削除できるのは、Organizations 管理アカウントの管理者だけです。CloudTrail コンソール、あるいは Organizations `DeregisterDelegatedAdministrator` CLI または SDK オペレーションを使用して、委任管理者を削除できます。CloudTrail コンソールを使用して委任管理者を削除する方法については、「[Remove a CloudTrail delegated administrator](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-remove-delegated-administrator.html)」(CloudTrail の委任管理者を削除する) を参照してください。