CloudTrail ログファイルの複数のリージョンからの受け取り

マルチリージョン証跡を作成すると、CloudTrail はアカウントで有効になっているすべてのリージョンからのイベントをログに記録します。CloudTrail は、同じ S3 バケットと CloudWatch Logs ロググループにログファイルを配信します。CloudTrail に S3 バケットに対する書き込みアクセス許可がある限り、マルチリージョン証跡のバケットは、証跡のホーム以外のリージョンにあっても問題ありません。

ほとんどの AWS リージョンは AWS アカウントでデフォルトで有効になっていますが、一部のリージョン (オプトインリージョンとも呼ばれる) は手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、「AWS アカウント管理 Reference Guide」の「Considerations before enabling and disabling Regions」を参照してください。CloudTrail がサポートするリージョンのリストについては、「CloudTrail がサポートされているリージョン」を参照してください。

オプトインリージョンを有効にすると、CloudTrail は有効にしたオプトインリージョンに各マルチリージョン証跡の同一のコピーを作成します。詳細については、「オプトインリージョンを有効にするとどうなりますか?」を参照してください。

後でオプトインリージョンを無効にすると、そのリージョンのマルチリージョン証跡のコピーは残ります。アカウントには、リソースを削除するための AWS のサービス によるアクションなど、無効にしたリージョンにアクティビティがある可能性があるため、CloudTrail は引き続きアクティビティをキャプチャし、リージョンが無効になる前に削除されていない証跡のイベントを S3 バケットに配信しようとします。

既存の単一リージョン証跡をマルチリージョン証跡に変換するには、AWS CLI を使用する必要があります。

既存の証跡を変更し、すべての有効になっているリージョンに適用されるようにするには、--is-multi-region-trail オプションを update-trail コマンドに追加します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がマルチリージョン証跡になったことを確認するには、出力の IsMultiRegionTrail 要素に true と表示されていることを確認します。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

詳細については、以下のリソースを参照してください。