翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS CloudTrail チュートリアルの開始方法
を初めて使用する場合 AWS CloudTrail、これらのチュートリアルは、その機能の使用方法を学ぶのに役立ちます。CloudTrail 機能を使用するには、適切なアクセス許可が必要です。このページでは、CloudTrail で使用できるマネージドポリシーについて説明し、アクセス許可を付与する方法に関する情報を提供します。
**Topics**
+ [CloudTrail を使用する権限を付与する](#tutorial-grant-permissions)
+ [イベント履歴を表示する](tutorial-event-history.md)
+ [管理イベントを記録する証跡を作成する](tutorial-trail.md)
+ [S3 データイベント用にイベントデータストアを作成する](tutorial-lake-S3.md)
## CloudTrail を使用する権限を付与する
証跡、イベントデータストア、チャネルなどの CloudTrail リソースを作成、更新、管理するには、CloudTrail を使用するためのアクセス許可を付与する必要があります。このセクションでは、CloudTrail で使用できる マネージドポリシーについて説明します。
**注記**
CloudTrail の管理タスクを実行するためにユーザーに付与するアクセス許可は、Amazon S3 バケットにログファイルを配信、または Amazon SNS トピックに通知を送信するために、CloudTrail に必要なアクセス許可と同じではありません。これらのアクセス許可の詳細については、「[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md)」を参照してください。
Amazon CloudWatch Logs との統合を設定した場合、CloudTrail には Amazon CloudWatch Logs ロググループにイベントを配信するためのロールも必要です。CloudTrail が使用するロールを作成する必要があります。詳細については、「[CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)」および「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」を参照してください。
CloudTrail では、次の AWS 管理ポリシーを使用できます。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) — このポリシーは、証跡、イベントデータストア、チャネルなどの CloudTrail リソース上の CloudTrail アクションへのフルアクセスを提供します。このポリシーは、CloudTrail 証跡、イベントデータストア、およびチャネルを作成、更新、削除するために必要なアクセス許可を提供します。
また、これらのポリシーには、Amazon S3 バケット、CloudWatch Logs のロググループ、および証跡の Amazon SNS トピックを管理するためのアクセス許可も提供します。ただし、`AWSCloudTrail_FullAccess`管理ポリシーは、Amazon S3 バケット、CloudWatch Logs ログのロググループ、または Amazon SNS トピックを削除するためのアクセス許可は提供していません。他の AWS サービスの マネージドポリシーの詳細については、「 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)」を参照してください。
**注記**
この**AWSCloudTrail\_FullAccess**ポリシーは、 間で広く共有されることを意図していません AWS アカウント。このロールを持つユーザーは、 AWS アカウントで最も機密かつ重要な監査機能を無効にしたり、再設定したりすることができます。このため、このポリシーはアカウント管理者にのみ適用する必要があります。このポリシーの使用を厳重に管理および監視する必要があります。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) — このポリシーは最近のイベントやイベント履歴を含む CloudTrail コンソールを表示する権限を付与します。また、このポリシーにより、既存の証跡、イベントデータストア、およびチャネルを表示することもできます。このポリシーが適用されているロールとユーザーは[イベント履歴をダウンロード](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events)できますが、証跡、イベントデータストア、またはチャンネルを作成または更新することはできません。
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。