クロスアカウントクロスリージョンログの一元化 - Amazon CloudWatch Logs
データ一元化の概念ログの一元化の設定一元化のモニタリング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントクロスリージョンログの一元化

Amazon CloudWatch Logs データ一元化は と連携して AWS Organizations 、クロスアカウントおよびクロスリージョン一元化ルールを使用して、複数のメンバーアカウントから 1 つのデータリポジトリにログデータを収集します。複数のアカウントから、組織内の AWS リージョン 一元化されたアカウントにログデータを自動的にレプリケートするルールを定義します。この機能により、ログの統合が合理化され、 AWS インフラストラクチャ全体の一元的なモニタリング、分析、コンプライアンスが向上します。

CloudWatch Logs データ一元化は、障害耐性を高めるために、送信先アカウント内でのルール設定中にバックアップリージョンを設定する機能など、運用上およびセキュリティ上の要件を満たすための設定の柔軟性を提供します。さらに、ソースアカウントからコピーされたロググループの暗号化動作を完全に制御して、カスタマーマネージド KMS キーで最初に暗号化されたデータを処理できます。

データ一元化の概念

CloudWatch Logs データ一元化の使用を開始する前に、以下の概念を理解してください。

一元化ルール

ソースアカウントとリージョンからのログデータを宛先アカウントとリージョンにレプリケートする方法を定義する設定。ルールは、ソース条件と送信先設定を指定します。

ソースアカウント

ログデータの送信元の AWS アカウント。ソースアカウントからのログイベントは、定義した一元化ルールに基づいて送信先アカウントにレプリケートされます。

送信先アカウント

レプリケートされたログデータが保存されているレプリケート先 AWS アカウント。このアカウントは、ログの分析とモニタリングのための一元的な場所として機能します。

バックアップリージョン

障害耐性とディザスタリカバリの目的でログデータをレプリケートできる、レプリケート先アカウント内のオプションのセカンダリリージョン。

CloudWatch Logs での暗号化

ロググループのデータは常に CloudWatch Logs で暗号化されます。デフォルトでは、CloudWatch Logs は 256 ビットの Advanced Encryption Standard Galois/Counter Mode (AES-GCM) によるサーバー側の暗号化を使用して、保管中のログデータを暗号化します。別の方法として、この暗号化に AWS Key Management Service を使用することもできます。その場合、暗号化は AWS 所有の KMS キーまたはカスタマー管理の KMS キーを使用して行われます。KMS キー KMS AWS を使用した暗号化は、ロググループの作成時または作成後に、KMS キーをロググループに関連付けることで、ロググループレベルで有効になります。KMS キーをロググループと関連付けると、ロググループの新たに取り込まれたすべてのデータは、このキーを使用して暗号化されます。このデータは、保持期間を通じて暗号化形式で保存されます。CloudWatch Logs は、リクエストがあればいつでもこのデータを復号化します。CloudWatch Logs には、ソースアカウントに対してログ一元化ルールが実行されるなど、暗号化されたデータがリクエストされるたびに KMS キーに対するアクセス許可が必要です。カスタマーマネージド KMS キーを使用している場合は、ソースロググループと宛先ロググループに関連付けられている KMS キーをタグ で更新しますLogsManaged = true。詳細については、「 Key AWS Management Service デベロッパーガイド」のAWS 「KMS キー」を参照してください。

ログの一元化の設定

CloudWatch Logs の一元化を設定するには、ソースアカウントのロググループから送信先アカウントのロググループへのログデータのフローを定義する一元化ルールを設定する必要があります。

一元化ルールが有効になり、ログイベントが宛先アカウントにレプリケートされたら、強化されたフィルタリング機能を使用して、一元化されたロググループにメトリクス、サブスクリプション、およびアカウントフィルターを作成できます。これらのフィルターは、特定のソースアカウントとリージョンからのログイベントをターゲットにすることができ、ソースアカウントとリージョンの情報をメトリクスディメンションとして出力できます。詳細については、「フィルターを使用したログイベントからのメトリクスの作成」を参照してください。

前提条件

  • AWS Organizations をセットアップする必要があり、送信元アカウントと送信先アカウントの両方が組織に属している必要があります。

  • ログデータへのアクセスを提供するには、CloudWatch、管理アカウント、および送信先アカウントに対して信頼されたアクセスを有効にする必要があります。

一元化ルールの作成

次の手順を使用して、ソースアカウントから送信先アカウントにログデータをレプリケートする一元化ルールを作成します。

一元化ルールを作成するには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. Organization タブに移動します。

  4. ルールの設定 を選択します。

  5. 次のフィールドを設定してソースの詳細を指定し、次を選択します。

    1. 一元化ルール名: 一元化ルールの一意の名前を入力します。

    2. ソースアカウント: テレメトリデータを一元化するアカウントを選択するソース選択基準を定義します。選択基準には以下が含まれます。

      • 組織内のメンバーアカウントのリスト

      • 組織内の組織単位のリスト

      • 組織全体

      選択基準は 2 つのモードで指定できます。

      • ビルダー: ソース選択基準を生成するためのクリックベースのエクスペリエンス

      • エディタ: ソース選択基準を提供する自由形式のテキストボックス

      ソース選択基準でサポートされている構文:

      • サポートされているキー: OrganizationId | OrganizationUnitId | AccountId | *

      • サポートされている演算子: = | IN | OR

    3. ソースリージョン: 一元化するテレメトリデータを検索するリージョンのリストを選択します。

  6. 次のフィールドを設定して送信先の詳細を指定し、次へを選択します。

    1. 送信先アカウント: テレメトリデータの中央送信先として機能する組織内のアカウントを選択します。

    2. 送信先リージョン: 一元化されたテレメトリデータのコピーを保存するプライマリリージョンを選択します。

    3. バックアップリージョン: 必要に応じて、一元化されたテレメトリデータの 2 番目のコピーを保存するリージョンを選択します。

  7. 次のフィールドを設定してテレメトリデータを指定し、次を選択します。

    1. ロググループ: 次のいずれかのオプションを選択します。

      • すべてのロググループ: ソースアカウントのすべてのロググループからのログを一元化します。

      • ロググループのフィルタリング: ソースアカウントのロググループのサブセットからのログを一元化し、ロググループの選択基準を一致させます。選択基準は 2 つのモードで指定できます。

        • ビルダー: ロググループの選択基準を生成するためのクリックベースのエクスペリエンス

        • エディタ: ロググループの選択基準を提供する自由形式のテキストボックス

        ロググループの選択基準でサポートされている構文:

        • サポートされているキー: LogGroupName | *

        • サポートされている演算子: = | != | IN | NOT IN | AND | OR | LIKE | NOT LIKE

    2. KMS 暗号化ロググループ

      重要

      CloudWatch 一元化ルールで指定された KMS キーで CloudWatch Logs の使用が許可されCloudWatch 一元化ルールはソースアカウントから送信先ロググループにログを配信できません。詳細については、「ステップ 2: KMS キーでアクセス許可を設定する」を参照してください。

      以下のオプションのいずれかを選択してください:

      • カスタマーマネージド KMS キーで暗号化されたロググループを一元化しない: カスタマーマネージド KMS キーで暗号化されたソースロググループからのログイベントの一元化をスキップします。

      • 送信先アカウントのカスタマーマネージド KMS キーで暗号化されたロググループを AWS マネージド KMS キーで一元化する: カスタマーマネージド KMS キーで暗号化されたソースロググループからのログイベントを、カスタマーマネージド KMS キーに関連付けられていない送信先ロググループに一元化します。代わりに、 AWS マネージド KMS キーを使用します。

        この設定を選択すると、以下も設定する必要があります。

        • 送信先暗号化キー ARN: 新しく作成された送信先ロググループに関連付ける、送信先アカウントとプライマリ送信先リージョンに属する KMS キーの ARN。

        • バックアップ先暗号化キー ARN (オプション): 新しく作成された送信先ロググループに関連付ける、送信先アカウントとバックアップ先リージョンに属する KMS キーの ARN。

        注記

        この設定は、ソースロググループがカスタマーマネージド KMS キーを使用して暗号化されている場合にのみ適用され、送信先アカウントの新しく作成されたロググループにのみ適用されます。

  8. 一元化ルールを確認し、オプションで直前の編集を行い、一元化ポリシーの作成を選択します。

一元化ルールの変更

既存の一元化ルールを変更するには、次の手順に従います。

一元化ルールを変更するには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. Organization タブに移動します。

  4. ルールの管理 を選択します。

  5. 更新するルールを選択し、編集を選択します。

  6. 必要に応じてルール設定を更新し、へを選択して各ステップに進みます。

  7. ステップ 4 で、確認して設定し、一元化ポリシーの更新を選択します。

一元化ルールの表示

既存の一元化ルールの詳細を表示するには、次の手順に従います。

一元化ルールを表示するには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. Organization タブに移動します。

  4. ルールの管理 を選択します。

  5. 既存のすべての一元化ルールのリストを表示し、特定のルール名を選択して詳細を表示します。

一元化ルールの削除

既存の一元化ルールを削除するには、次の手順に従います。

一元化ルールを削除するには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. Organization タブに移動します。

  4. ルールの管理 を選択します。

  5. 削除するルールを選択し、削除を選択します。

  6. 削除を確認し、[Delete] (削除) を選択します。

一元化のモニタリング

CloudWatch メトリクス、CloudWatch CloudWatch Logs コンソール、および AWS CloudTrail ログを使用して、一元化ルールのステータスとパフォーマンスをモニタリングできます。これにより、ログデータが正常にレプリケートされ、一元化設定の問題を特定できます。

コンソールでの一元化のモニタリング

CloudWatch Logs コンソールを使用して、一元化ルールのステータスとアクティビティを表示します。

コンソールで一元化ルールをモニタリングするには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. Organization タブに移動します。

  4. ルールの管理 を選択します。

  5. 一元化ルールリストを確認します。このリストには以下が表示されます。

    • ルール名: 各一元化ルールの名前

    • ルールステータス: 現在の運用ステータス (アクティブ、非アクティブ、エラー)

    • 作成日: ルールが作成された日時

    • 送信先アカウント ID: 送信先アカウントのアカウント ID

    • 送信先リージョン: 送信先アカウントのリージョン

  6. 特定のルール名を選択して、ルール設定の詳細を表示します。

一元化モニタリング

コンソールインターフェイスと API オペレーションを使用して、一元化ルールをモニタリングできます。

現在のモニタリング機能には以下が含まれます。

  • ルールのヘルスステータス: コンソールまたは GetCentralizationRuleForOrganization API を使用して一元化ルールの全体的なヘルスをモニタリングする

  • ルール設定: ルール設定と最終更新タイムスタンプを確認する

  • 失敗の理由: ルールが UNHEALTHY としてマークされている場合に詳細な失敗情報を表示する

  • API アクティビティ: CloudTrail ログを使用して一元化 API コールを追跡する

ルールの正常性のモニタリング

各一元化ルールには、正しく動作しているかどうかを示すヘルスステータスがあります。ルールの状態は、 コンソールまたは API を使用してプログラムで確認できます。

ルールのヘルスステータスには以下が含まれます。

  • HEALTHY: ルールが正常に動作し、ログデータが設定どおりにレプリケートされている

  • UNHEALTHY: ルールで問題が発生し、データが正しくレプリケートされていない可能性があります

  • PROVISIONING: 組織の一元化がセットアップ中です。

ルールが UNHEALTHY としてマークされると、 FailureReasonフィールドには、対処する必要がある特定の問題に関する詳細が表示されます。

による一元化 API コールのモニタリング AWS CloudTrail

AWS CloudTrail は、一元化サービスに対して行われた API コールをログに記録します。これにより、設定の変更を追跡し、 のメンバーであるアカウントの問題をトラブルシューティングできます AWS Organizations。

一元化の主な CloudTrail イベントは次のとおりです。

  • CreateCentralizationRuleForOrganization: 新しい一元化ルールが作成されたとき

  • UpdateCentralizationRuleForOrganization: 既存のルールが変更された場合

  • DeleteCentralizationRuleForOrganization: ルールが削除された場合

  • GetCentralizationRuleForOrganization: ルールの詳細を取得する場合

  • ListCentralizationRulesForOrganization: ルールが一覧表示されている場合

CloudTrail ログを使用して、一元化設定の変更を監査し、パフォーマンスの問題やレプリケーションの失敗に関連付けることができます。