組織のイベントデータストアを作成するアカウントレベルのイベントデータストアを組織に適用する委任管理者のデフォルトのリソースポリシーその他のリソース

組織のイベントデータストアについて

AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントにおけるすべてのイベントをログに記録する組織イベントデータストアを作成できます。組織のイベントデータストアは、すべての AWS リージョンに適用することも、現在のリージョンに適用することもできます。組織のイベントデータストアを使用して、AWS 外からイベントを収集することはできません。

管理アカウントまたは委任された管理者アカウントのいずれかを使用して、組織のイベントデータストアを作成することができます。委任された管理者が組織のイベントデータストアを作成しても、組織のイベントデータストアは組織の管理アカウントに存在します。これは、管理アカウントがすべての組織リソースの所有権を保持するためです。

組織の管理アカウントは、アカウントレベルのイベントデータストアを更新して組織に適用することができます。

組織のイベントデータストアが組織への適用として指定された場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。デフォルトでは、メンバーアカウントは組織のイベントデータストアにアクセスできず、組織のイベントデータストアに対してクエリを実行することもできません。

次の表は、AWS Organizations 組織内の管理アカウントと委任された管理者アカウントの機能を示しています。

機能	管理アカウント	委任された管理者アカウント
委任された管理者アカウントを登録または削除する。	はい	いいえ
AWS CloudTrail イベントまたは AWS Config 設定項目用に組織のイベントデータストアを作成する。	はい	はい
組織のイベントデータストアでの Insights の有効化。	はい	いいえ
組織のイベントデータストアの更新。	はい	はい1
組織イベントデータストアでのイベント取り込みを開始または停止します。	はい	はい
組織のイベントデータストアで Lake クエリフェデレーションを有効にする。²	はい	はい
組織のイベントデータストアでの Lake クエリフェデレーションの無効化。	はい	はい
組織のイベントデータストアの削除。	はい	はい
イベントデータストアに証跡イベントをコピーする。	はい	いいえ
組織のイベントデータストアでのクエリ実行。	はい	はい
組織イベントデータストアのマネージドダッシュボードを表示します。	はい	いいえ
組織イベントデータストアの Highlights ダッシュボードを有効にします。	はい	いいえ
組織イベントデータストアをクエリするカスタムダッシュボードのウィジェットを作成します。	はい	いいえ

¹組織のイベントデータストアをアカウントレベルのイベントデータストアに変換したり、アカウントレベルのイベントデータストアを組織のイベントデータストアに変換したりできるのは管理アカウントだけです。組織のイベントデータストアは管理アカウントにのみ存在するため、委任された管理者はこれらのアクションを実行できません。組織のイベントデータストアをアカウントレベルのイベントデータストアに変換した場合は、イベントデータストアにアクセスできるのは管理アカウントだけになります。同様に、組織のイベントデータストアに変換できるのは、管理アカウント内のアカウントレベルのイベントデータストアだけです。

²組織のイベントデータストアでフェデレーションを有効にできるのは、委任された管理者アカウントの 1 つ、または管理アカウントだけです。他の委任管理者アカウントは、Lake Formation のデータ共有機能を使用すると、情報をクエリし共有することが可能です。組織の管理アカウントだけでなく委任された管理者アカウントも、フェデレーションを無効化することができます。

組織のイベントデータストアを作成する

組織の管理アカウントまたは委任された管理者アカウントは、CloudTrail イベント (管理イベント、データイベント) または AWS Config 設定項目を収集するために、組織イベントデータストアを作成することができます。

注記

証跡イベントをイベントデータストアにコピーできるのは、組織の管理アカウントのみです。

CloudTrail console

コンソールを使用して組織イベントデータストアを作成するには

「create an event data store for CloudTrail events」にある手順に従って、CloudTrail 管理またはデータイベント用の組織イベントデータストアを作成します。

または

「create an event data store for AWS Config configuration items」にある手順に従って、AWS Config 設定項目の組織イベントデータストアを作成します。
[イベントの選択] ページで、[組織内のすべてのアカウントに対して有効にする] を選択します。

AWS CLI

組織イベントデータストアを作成するには、create-event-data-store コマンドを実行し、--organization-enabled オプションを含めます。

次の AWS CLI create-event-data-store コマンドの例では、すべての管理イベントを収集する組織イベントデータストアを作成しています。CloudTrail はデフォルトで管理イベントをログに記録するため、イベントデータストアがすべての管理イベントをログに記録しており、データイベントを収集していない場合は、高度なイベントセレクタを指定する必要はありません。


aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

以下に、応答の例を示します。


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

次の AWS CLI create-event-data-store コマンドの例では、AWS Config 設定項目を収集する config-items-org-eds という名前のイベントデータストアを作成します。設定項目を収集するには、高度なイベントセレクタで eventCategory フィールドを ConfigurationItem に指定します。


aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

アカウントレベルのイベントデータストアを組織に適用する

組織の管理アカウントは、アカウントレベルのイベントデータストアを変換して組織に適用することができます。

委任管理者のデフォルトのリソースポリシー

CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する、組織イベントデータストアの DelegatedAdminResourcePolicy という名前のリソースポリシーを自動的に生成します。DelegatedAdminResourcePolicy のアクセス許可は、AWS Organizations の委任管理者アクセス許可から派生します。

DelegatedAdminResourcePolicy の目的は、リソースベースのポリシーが組織イベントデータストアにアタッチされ、プリンシパルが組織イベントデータストアでアクションを実行することを許可または拒否する場合に、委任管理者アカウントが組織イベントデータストアを組織に代わって管理でき、組織イベントデータストアへのアクセスが意図せずに拒否されないようにすることです。

CloudTrail は、組織イベントデータストアに提供されるリソースベースのポリシーとともに DelegatedAdminResourcePolicy を評価します。委任管理者アカウントは、提供されたリソースベースのポリシーに、委任管理者アカウントが本来実行できるはずの、組織イベントデータストアでのアクションを実行することを明示的に拒否するステートメントが含まれている場合にのみアクセスを拒否されます。

この DelegatedAdminResourcePolicy ポリシーは、次の場合に自動的にアップデートされます。

管理アカウントが、組織イベントデータストアをアカウントレベルのイベントデータストアに変換したり、アカウントレベルのイベントデータストアを組織イベントデータストアに変換したりします。
組織の変更があります。例えば、管理アカウントは CloudTrail 委任管理者アカウントを登録または削除します。

CloudTrail コンソールの委任管理者リソースポリシーセクションで、または AWS CLI get-resource-policy コマンドを実行して組織イベントデータストアの ARN を渡すことで、最新のポリシーを表示できます。

次の例では、組織イベントデータストアで get-resource-policy コマンドを実行します。


aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

このコマンドの出力には、リソースベースのポリシーと、委任管理者アカウント用に生成された DelegatedAdminResourcePolicy ポリシーが表示されます。

その他のリソース

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Lake Formation による CloudTrail レイクフェデレーションリソースの管理

統合