クロスアカウントクロスリージョンログの一元化 - Amazon CloudWatch Logs
データ一元化の概念ログの一元化の設定一元化のモニタリング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントクロスリージョンログの一元化

Amazon CloudWatch Logs データ一元化は、AWS Organizations と連携して、クロスアカウントおよびクロスリージョン一元化ルールを使用し、複数のメンバーアカウントからログデータを収集して 1 つのデータリポジトリにコピーします。複数のアカウントおよび AWS リージョン から組織内の一元化されたアカウントにログデータを自動的にレプリケートするルールを定義します。この機能により、ログの統合が効率化され、AWS インフラストラクチャ全体の一元的なモニタリング、分析、コンプライアンスが向上します。

CloudWatch Logs データ一元化は、障害耐性を高めるために、送信先アカウント内でのルール設定中にバックアップリージョンを設定する機能など、運用上およびセキュリティ上の要件を満たすための設定の柔軟性を提供します。さらに、ソースアカウントからコピーされたロググループの暗号化動作を完全に制御して、カスタマーが管理する KMS キーで最初に暗号化されたデータを処理できます。

注記

CloudWatch Logs の一元化機能は、一元化ルールの作成後にソースアカウントに到着した新しいログデータのみを処理します。履歴ログデータ (ルールの作成前に存在していたログ) は一元化されません。

データ一元化の概念

CloudWatch Logs データ一元化の使用を開始する前に、以下の概念を理解してください。

一元化ルール

ソースアカウントとリージョンからのログデータを送信先アカウントとリージョンにレプリケートする方法を定義する設定。ルールは、ソース条件と送信先設定を指定します。

ソースアカウント

ログデータの送信元の AWS アカウント。ソースアカウントからのログイベントは、定義した一元化ルールに基づいて送信先アカウントにレプリケートされます。

送信先アカウント

レプリケートされたログデータが保存されている送信先 AWS アカウント。このアカウントは、ログの分析とモニタリングのための一元的な場所として機能します。

バックアップリージョン

障害耐性とディザスタリカバリの目的でログデータをレプリケートできる、送信先アカウント内のオプションのセカンダリリージョン。

CloudWatch Logs での暗号化

ロググループのデータは常に CloudWatch Logs で暗号化されます。デフォルトでは、CloudWatch Logs は 256 ビットの Advanced Encryption Standard Galois/Counter Mode (AES-GCM) によるサーバー側の暗号化を使用して、保管中のログデータを暗号化します。別の方法として、この暗号化には AWS Key Management Service を使用できます。その場合、暗号化は AWS が所有する KMS キーまたはカスタマーマネージド KMS キーのいずれかを使用して行われます。AWS KMS を使用した KMS キー暗号化は、ロググループの作成時または作成後に、KMS キーとロググループを関連付けることにより、ロググループレベルで有効になります。KMS キーをロググループと関連付けると、ロググループの新たに取り込まれたすべてのデータは、このキーを使用して暗号化されます。このデータは、保持期間を通じて暗号化形式で保存されます。CloudWatch Logs は、リクエストがあればいつでもこのデータを復号化します。CloudWatch Logs には、ソースアカウントに対してログ一元化ルールが実行される時など、暗号化されたデータがリクエストされるたびに KMS キーに対するアクセス許可が必要です。カスタマーマネージド KMS キーを使用している場合は、ソースロググループと送信先ロググループに関連付けられている KMS キーをタグ LogsManaged = true で更新します。詳細については、AWS Key Management Service デベロッパーガイドの「AWS KMS キー」を参照してください。

ログの一元化の設定

CloudWatch Logs Centralization を設定するには、ソースアカウントのロググループから送信先アカウントのロググループへのログデータのフローを定義する一元化ルールを設定する必要があります。

一元化ルールが有効になり、ログイベントが送信先アカウントにレプリケートされたら、強化されたフィルタリング機能を使用して、一元化されたロググループにメトリクス、サブスクリプション、アカウントフィルターを作成できます。これらのフィルターは、特定のソースアカウントとリージョンからのログイベントをターゲットにすることができ、ソースアカウントとリージョンの情報をメトリクスディメンションとして出力できます。詳細については、「フィルターを使用したログイベントからのメトリクスの作成」を参照してください。

前提条件

  • AWS Organizations をセットアップする必要があり、送信元アカウントと送信先アカウントの両方が組織に属している必要があります。

  • ログデータへのアクセスを提供するには、CloudWatch、管理アカウント、送信先アカウントに対して信頼されたアクセスを有効にする必要があります。

一元化ルールの作成

次の手順を使用して、ソースアカウントから送信先アカウントにログデータをレプリケートする一元化ルールを作成します。

一元化ルールを作成するには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. [組織] タブに移動します。

  4. [ルールの設定] を選択します。

  5. 次のフィールドを設定してソースの詳細を指定し、[次へ] を選択します。

    1. 一元化ルール名: 一元化ルールの一意の名前を入力します。

    2. ソースアカウント: テレメトリデータを一元化するアカウントを選択するソース選択基準を定義します。選択基準には以下を含むことができます。

      • 組織のメンバーアカウントのリスト

      • 組織の組織単位のリスト

      • 組織全体

      選択基準は 2 つのモードで指定できます。

      • ビルダー: ソース選択基準を生成するためのクリックベースのエクスペリエンス

      • エディタ: ソース選択基準を提供する自由形式のテキストボックス

      ソース選択基準でサポートされている構文:

      • サポートされているキー: OrganizationId | OrganizationUnitId | AccountId | *

      • サポートされている演算子: = | IN | OR

    3. ソースリージョン: 一元化するテレメトリデータを検索するリージョンのリストを選択します。

  6. 次のフィールドを設定して送信先の詳細を指定し、[次へ] を選択します。

    1. 送信先アカウント: テレメトリデータの中央送信先として機能する組織内のアカウントを選択します。

    2. 送信先リージョン: 一元化されたテレメトリデータのコピーを保存するプライマリリージョンを選択します。

    3. バックアップリージョン: 必要に応じて、一元化されたテレメトリデータの 2 番目のコピーを保存するリージョンを選択します。

  7. 次のフィールドを設定してテレメトリデータを指定し、[次へ] を選択します。

    1. ロググループ: 次のオプションのいずれかを選択します。

      • すべてのロググループ: ソースアカウントのすべてのロググループからのログを一元化します。

      • ロググループのフィルタリング: ソースアカウントのロググループのサブセットからのログを一元化し、ロググループの選択基準を一致させます。選択基準は 2 つのモードで指定できます。

        • ビルダー: ロググループ選択基準を生成するためのクリックベースのエクスペリエンス

        • エディタ: ロググループ選択基準を提供する自由形式のテキストボックス

        ロググループ選択基準でサポートされている構文:

        • サポートされているキー: LogGroupName | *

        • サポートされている演算子: = | != | IN | NOT IN | AND | OR | LIKE | NOT LIKE

    2. KMS 暗号化ロググループ

      重要

      CloudWatch 一元化ルールは、その一元化ルールで指定された KMS キーで CloudWatch Logs によるその使用が許可されていない場合、ソースアカウントから送信先ロググループにログを配信できません。詳細については、「ステップ 2: KMS キーでアクセス許可を設定する」を参照してください。

      以下のオプションのいずれかを選択してください:

      • カスタマーマネージド KMS キーで暗号化されたロググループを一元化しない: カスタマーマネージド KMS キーで暗号化されたソースロググループからのログイベントの一元化をスキップします。

      • 送信先アカウントのカスタマーマネージド KMS キーで暗号化されたロググループを AWS マネージド KMS キーで一元化する: カスタマーマネージド KMS キーで暗号化されたソースロググループからのログイベントを、カスタマーマネージド KMS キーに関連付けられていない送信先ロググループに一元化します。代わりに、AWS マネージド KMS キーを使用します。

        この設定を選択すると、以下も設定する必要があります。

        • 送信先暗号化キー ARN: 新しく作成された送信先ロググループに関連付ける、送信先アカウントとプライマリ送信先リージョンに属する KMS キーの ARN。

        • バックアップ送信先暗号化キー ARN (オプション): 新しく作成された送信先ロググループに関連付ける、送信先アカウントとバックアップ送信先リージョンに属する KMS キーの ARN。

        注記

        この設定は、ソースロググループがカスタマーマネージド KMS キーを使用して暗号化されている場合にのみ適用され、送信先アカウントの新しく作成されたロググループにのみ適用されます。

  8. 一元化ルールを確認し、オプションで直前の編集を行い、一元化ポリシーの作成を選択します。

一元化ルールの変更

既存の一元化ルールを変更するには、次の手順に従います。

一元化ルールを変更するには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. [組織] タブに移動します。

  4. [ルールの管理] を選択します。

  5. ルールを選択してから、[編集] を選択します。

  6. 必要に応じてルール設定を更新し、[次へ] を選択して各ステップに進みます。

  7. ステップ 4「確認して設定」で、[一元化ポリシーの更新] を選択します。

一元化ルールの表示

既存の一元化ルールの詳細を表示するには、次の手順に従います。

一元化ルールを表示するには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. [組織] タブに移動します。

  4. [ルールの管理] を選択します。

  5. 既存のすべての一元化ルールのリストを表示し、特定のルール名を選択して詳細を表示します。

一元化ルールの削除

既存の一元化ルールを削除するには、次の手順に従います。

一元化ルールを削除するには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. [組織] タブに移動します。

  4. [ルールの管理] を選択します。

  5. 削除するルールを選択し、[削除] を選択します。

  6. 削除を確認し、[Delete] (削除) を選択します。

一元化のモニタリング

CloudWatch メトリクス、CloudWatch Logs コンソール、AWS CloudTrail ログを使用して、一元化ルールのステータスとパフォーマンスをモニタリングできます。これにより、ログデータが正常にレプリケートされ、一元化の設定に伴う問題を特定していることを確認しやすくなります。

コンソールでの一元化のモニタリング

CloudWatch Logs コンソールを使用して、一元化ルールのステータスとアクティビティを表示します。

コンソールで一元化ルールをモニタリングするには

  1. 組織の管理アカウントまたは委任管理者アカウントの CloudWatch コンソールに移動します。

  2. [設定] を選択します。

  3. [組織] タブに移動します。

  4. [ルールの管理] を選択します。

  5. 一元化ルールリストを確認します。このリストには以下が表示されます。

    • ルール名: 個々の一元化ルールの名前

    • ルールステータス: 現在の運用ステータス (アクティブ、非アクティブ、エラー)

    • 作成日: ルールが作成された日

    • 送信先アカウント ID: 送信先アカウントのアカウント ID

    • 送信先リージョン: 送信先アカウントのリージョン

  6. 特定のルール名を選択して、ルール設定の詳細を表示します。

一元化モニタリング

コンソールインターフェイスと API オペレーションを使用して一元化ルールをモニタリングできます。

現在のモニタリング機能には以下が含まれます。

  • ルールのヘルスステータス: コンソールまたは GetCentralizationRuleForOrganization API を使用して一元化ルールの全体的なヘルスをモニタリングする

  • ルール設定: ルール設定と最終更新タイムスタンプを確認する

  • 失敗の理由: ルールが UNHEALTHY としてマークされている場合に詳細な失敗情報を表示する

  • API アクティビティ: CloudTrail ログを使用して一元化 API コールを追跡する

ルールのヘルスモニタリング

個々の一元化ルールには、正しく動作しているか否かを示すヘルスステータスがあります。ルールのヘルスは、コンソールを使用するか、API を使用してプログラムで確認できます。

ルールのヘルスステータスは次のとおりです。

  • HEALTHY: ルールが正常に動作し、ログデータが設定どおりにレプリケートされている

  • UNHEALTHY: ルールで問題が発生し、データが正しくレプリケートされていない可能性がある

  • PROVISIONING: 組織の一元化がセットアップ中である

ルールが UNHEALTHY としてマークされると、FailureReason フィールドには、対処する必要がある特定の問題に関する詳細が表示されます。

AWS CloudTrail による一元化 API コールのモニタリング

AWS CloudTrail は、一元化サービスに対して行われた API コールをログに記録します。これにより、AWS Organizations のメンバーであるアカウントの設定変更を追跡し、問題のトラブルシューティングを行えるようになります。

一元化の主な CloudTrail イベントには以下が含まれます。

  • CreateCentralizationRuleForOrganization: 新しい一元化ルールが作成された場合

  • UpdateCentralizationRuleForOrganization: 既存のルールが変更された場合

  • DeleteCentralizationRuleForOrganization: ルールが削除された場合

  • GetCentralizationRuleForOrganization: ルールの詳細が取得された場合

  • ListCentralizationRulesForOrganization: ルールがリストされた場合

CloudTrail ログを使用して、一元化設定の変更を監査し、パフォーマンスの問題やレプリケーションの失敗にそれらを関連付けることができます。