翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 組織のイベントデータストアについて
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
で組織を作成した場合は AWS Organizations、その組織 AWS アカウント 内のすべての のすべてのイベントをログに記録する組織イベント*データストア*を作成できます。組織のイベントデータストアは AWS リージョン、すべての または現在のリージョンに適用できます。組織のイベントデータストアを使用して、 AWS外からイベントを収集することはできません。
管理アカウントまたは委任された管理者アカウントのいずれかを使用して、[組織のイベントデータストアを作成する](#cloudtrail-lake-organizations-create-eds)ことができます。委任された管理者が組織のイベントデータストアを作成しても、組織のイベントデータストアは組織の管理アカウントに存在します。これは、管理アカウントがすべての組織リソースの所有権を保持するためです。
組織の管理アカウントは、[アカウントレベルのイベントデータストアを更新](#cloudtrail-lake-organizations-update-eds)して組織に適用することができます。
組織のイベントデータストアが組織への適用として指定された場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。デフォルトでは、メンバーアカウントは組織のイベントデータストアにアクセスできず、組織のイベントデータストアに対してクエリを実行することもできません。
次の表は、 AWS Organizations 組織内の管理アカウントと委任管理者アカウントの機能を示しています。
| 機能 | 管理アカウント | 委任された管理者アカウント |
| --- | --- | --- |
| 委任された管理者アカウントを登録または削除する。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ |
| イベントまたは AWS Config 設定項目の組織 AWS CloudTrail イベントデータストアを作成します。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい |
| 組織のイベントデータストアでの Insights の有効化。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ |
| 組織のイベントデータストアの更新。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい 1 |
| 組織イベントデータストアでのイベント取り込みを開始または停止します。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい |
| 組織のイベントデータストアで Lake クエリフェデレーションを有効にする。2 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい |
| 組織のイベントデータストアでの Lake クエリフェデレーションの無効化。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい |
| 組織のイベントデータストアの削除。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい |
| イベントデータストアに証跡イベントをコピーする。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ |
| 組織のイベントデータストアでのクエリ実行。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい |
| 組織イベントデータストアのマネージドダッシュボードを表示します。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ |
| 組織イベントデータストアの Highlights ダッシュボードを有効にします。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ |
| 組織イベントデータストアをクエリするカスタムダッシュボードのウィジェットを作成します。 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ |
1 組織のイベントデータストアをアカウントレベルのイベントデータストアに変換したり、アカウントレベルのイベントデータストアを組織のイベントデータストアに変換したりできるのは管理アカウントだけです。組織のイベントデータストアは管理アカウントにのみ存在するため、委任された管理者はこれらのアクションを実行できません。組織のイベントデータストアをアカウントレベルのイベントデータストアに変換した場合は、イベントデータストアにアクセスできるのは管理アカウントだけになります。同様に、組織のイベントデータストアに変換できるのは、管理アカウント内のアカウントレベルのイベントデータストアだけです。
2組織のイベントデータストアでフェデレーションを有効にできるのは、委任された管理者アカウントの 1 つ、または管理アカウントだけです。他の委任管理者アカウントは、[Lake Formation のデータ共有機能](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)を使用すると、情報をクエリし共有することが可能です。組織の管理アカウントだけでなく委任された管理者アカウントも、フェデレーションを無効化することができます。
## 組織のイベントデータストアを作成する
組織の管理アカウントまたは委任管理者アカウントは、組織のイベントデータストアを作成して、CloudTrail イベント (管理イベント、データイベント) または AWS Config 設定項目を収集できます。
**注記**
証跡イベントをイベントデータストアにコピーできるのは、組織の管理アカウントのみです。
------
#### [ CloudTrail console ]
**コンソールを使用して組織イベントデータストアを作成するには**
1. 「[create an event data store for CloudTrail events](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure)」にある手順に従って、CloudTrail 管理またはデータイベント用の組織イベントデータストアを作成します。
**または**
[AWS Config 「設定項目のイベントデータストアを作成する](query-event-data-store-config.md#create-config-event-data-store)」の手順に従って、設定項目の組織イベントデータストア AWS Config を作成します。
1. **[イベントの選択]** ページで、**[組織内のすべてのアカウントに対して有効にする]** を選択します。
------
#### [ AWS CLI ]
組織イベントデータストアを作成するには、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) コマンドを実行し、`--organization-enabled` オプションを含めます。
次のコマンド例では AWS CLI `create-event-data-store`、すべての管理イベントを収集する組織イベントデータストアを作成します。CloudTrail はデフォルトで管理イベントをログに記録するため、イベントデータストアがすべての管理イベントをログに記録しており、データイベントを収集していない場合は、高度なイベントセレクタを指定する必要はありません。
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled
```
以下に、応答の例を示します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
次のコマンド例では AWS CLI `create-event-data-store`、 AWS Config 設定項目`config-items-org-eds`を収集する という名前の組織イベントデータストアを作成します。設定項目を収集するには、高度なイベントセレクタで `eventCategory` フィールドを `ConfigurationItem` に指定します。
```
aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
------
## アカウントレベルのイベントデータストアを組織に適用する
組織の管理アカウントは、アカウントレベルのイベントデータストアを変換して組織に適用することができます。
------
#### [ CloudTrail console ]
**コンソールを使用してアカウントレベルのイベントデータストアを更新するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[イベントデータストア]** を選択します。
1. 更新するイベントデータストアを選択します。このアクションで、イベントデータストアの詳細ページが開きます。
1. [**General details**] で、[**Edit**] を選択します。
1. **[組織内のすべてのアカウントに対して有効にする]** を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
イベントデータストアの更新に関するその他の詳細については、「[コンソールでイベントデータストアを更新する](query-event-data-store-update.md)」を参照してください。
------
#### [ AWS CLI ]
アカウントレベルのイベントデータストアを更新して組織に適用するには、[update-event-data-store](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) コマンドを実行し、`--organization-enabled` オプションを含めます。
```
aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
------
## 委任管理者のデフォルトのリソースポリシー
CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する、[組織イベントデータストア](#cloudtrail-lake-organizations)の `DelegatedAdminResourcePolicy` という名前のリソースポリシーを自動的に生成します。`DelegatedAdminResourcePolicy` のアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から派生します。
`DelegatedAdminResourcePolicy` の目的は、リソースベースのポリシーが組織イベントデータストアにアタッチされ、プリンシパルが組織イベントデータストアでアクションを実行することを許可または拒否する場合に、委任管理者アカウントが組織イベントデータストアを組織に代わって管理でき、組織イベントデータストアへのアクセスが意図せずに拒否されないようにすることです。
CloudTrail は、組織イベントデータストアに提供されるリソースベースのポリシーとともに `DelegatedAdminResourcePolicy` を評価します。委任管理者アカウントは、提供されたリソースベースのポリシーに、委任管理者アカウントが本来実行できるはずの、組織イベントデータストアでのアクションを実行することを明示的に拒否するステートメントが含まれている場合にのみアクセスを拒否されます。
この `DelegatedAdminResourcePolicy` ポリシーは、次の場合に自動的にアップデートされます。
+ 管理アカウントが、組織イベントデータストアをアカウントレベルのイベントデータストアに変換したり、アカウントレベルのイベントデータストアを組織イベントデータストアに変換したりします。
+ 組織の変更があります。例えば、管理アカウントは CloudTrail 委任管理者アカウントを登録または削除します。
CloudTrail コンソールの委任管理者リソースポリシーセクションで、または コマンドを実行して AWS CLI `get-resource-policy`組織のイベントデータストアの ARN を渡すことで、up-to-dateポリシーを表示できます。 ****
次の例では、組織イベントデータストアで `get-resource-policy` コマンドを実行します。
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
このコマンドの出力には、リソースベースのポリシーと、委任管理者アカウント用に生成された `DelegatedAdminResourcePolicy` ポリシーが表示されます。
## その他のリソース
+ [組織の委任された管理者](cloudtrail-delegated-administrator.md)
+ [CloudTrail の委任された管理者を追加する](cloudtrail-add-delegated-administrator.md)
+ [CloudTrail の委任された管理者を削除する](cloudtrail-remove-delegated-administrator.md)