AWS アカウント クロージャーと証跡
AWS CloudTrail は、AWS アカウント における任意のユーザー、ロール、または AWS のサービス によって生成されたアカウントアクティビティのイベントを継続的に監視および記録します。ユーザーは CloudTrail の証跡を作成して、所有する S3 バケットで、これらのイベントのコピーを受け取ることができます。
CloudTrail は基盤セキュリティサービスであるため、ユーザーが作成した証跡は、AWS アカウント を閉鎖する前にユーザーがその内部で明示的に削除しない限り、AWS アカウント の閉鎖後も継続的に存在しイベントを配信します。これにより、ユーザーがアカウントを再度解説した場合でも、破壊されていないアカウントアクティビティの記録を取得できるようにしています。同時に、残っているアカウントリソースやサービスの削除や終了など、最終的なアカウントアクティビティについての可視性もユーザーに提供しています。
AWS アカウントを閉鎖する前に、次の点を考慮してください。
-
証跡は、閉鎖後期間が経過した後も引き続き存在します。閉鎖後期間とは、アカウントを閉鎖してから AWS が AWS アカウントを完全に閉鎖するまでの 90 日間のことです。
-
この動作は、管理アカウントまたは委任管理者によって作成された組織証跡や、組織のメンバーアカウントで作成されたマルチリージョンの組織証跡にも適用されます。
-
同じアカウントの S3 バケットにイベントを配信する証跡の場合、アカウントが閉鎖された後も証跡は引き続き存在します。ただし、アカウントが閉鎖されると S3 バケットが削除されるため、証跡はイベントの配信を継続しません。
-
別のアカウントの S3 バケットにイベントを配信する証跡の場合、アカウントが閉鎖された後も証跡は引き続き存在します。また、イベントを配信できる場合、証跡は S3 バケットへのイベントの配信を継続します。例えば、組織内のメンバーアカウントを閉鎖しても管理アカウントを閉鎖しない場合、組織証跡は S3 バケットへのイベントの配信を継続します。
-
AWS KMS keys で暗号化された証跡の場合、KMS キーに加えてアカウントが閉鎖された後も証跡は引き続き存在します。
ユーザーは、AWS アカウント を閉鎖する前に証跡を削除するか、AWS サポート
AWS アカウント の閉鎖の詳細については、「AWS アカウント管理 リファレンスガイド」の「AWS アカウント の閉鎖」を参照してください。
注記
CloudTrail ログファイルの検証が有効になっている場合、CloudTrail ログが作成されたかどうかを示すダイジェストファイルが、ユーザーに対し 1 時間ごとに継続して送信されます。
CloudTrail Lake イベントデータストア、統合用の CloudTrail Lake チャネル、CloudTrail のサービスにリンクされたチャネル、および証跡用に作成されたリソース (例えば、閉鎖されたアカウントに存在する Amazon CloudWatch Logs ロググループや Amazon S3 バケット) は、アカウント閉鎖に関する AWS の標準的な動作に従い、閉鎖後の一定期間 (通常は 90 日) が過ぎると完全に削除されます。
