翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の Identity and Access Management AWS CloudTrail
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に CloudTrail リソースの使用を*許可する* (アクセス許可を持たせる) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [が IAM と AWS CloudTrail 連携する方法](security_iam_service-with-iam.md)
+ [のアイデンティティベースのポリシーの例 AWS CloudTrail](security_iam_id-based-policy-examples.md)
+ [AWS CloudTrail リソースベースのポリシーの例](security_iam_resource-based-policy-examples.md)
+ [CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md)
+ [CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー](s3-bucket-policy-lake-query-results.md)
+ [CloudTrail の Amazon SNS トピックポリシー](cloudtrail-permissions-for-sns-notifications.md)
+ [AWS CloudTrail ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)
+ [CloudTrail サービスにリンクされたロールの使用](using-service-linked-roles.md)
+ [AWS の 管理ポリシー AWS CloudTrail](security-iam-awsmanpol.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS CloudTrail ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[が IAM と AWS CloudTrail 連携する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[のアイデンティティベースのポリシーの例 AWS CloudTrail](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、まず、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間のユーザーに要求する AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# が IAM と AWS CloudTrail 連携する方法
IAM を使用して CloudTrail へのアクセスを管理する前に、CloudTrail で利用できる IAM の機能を確認してください。
**で使用できる IAM 機能 AWS CloudTrail**
| IAM 機能 | CloudTrail のサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | 部分的 |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | はい |
| [ポリシー条件キー (サポート固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | いいえ |
| [ACL](#security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | あり |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | あり |
| [転送アクセスセッション (FAS)](#security_iam_service-with-iam-principal-permissions) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service) | あり |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | はい |
CloudTrail およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## CloudTrail のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### CloudTrail のアイデンティティベースのポリシー例
CloudTrail アイデンティティベースのポリシーの例を表示するには、「[のアイデンティティベースのポリシーの例 AWS CloudTrail](security_iam_id-based-policy-examples.md)」を参照してください。
## CloudTrail 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** 一部
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
CloudTrail は、次のタイプのリソースベースのポリシーをサポートしています。
+ CloudTrail Lake と 外のイベントソースの統合に使用されるチャネルのリソースベースのポリシー AWS。チャネルのリソースベースのポリシーでは、チャネル上で `PutAuditEvents` を呼び出して送信先のイベントデータストアにイベントを送信できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーションユーザー) を定義します。CloudTrail Lake との統合の作成の詳細については、「[の外部でイベントソースとの統合を作成する AWS](query-event-data-store-integration.md)」を参照してください。
+ どのプリンシパルがイベントデータストアでアクションを実行できるかを制御するリソースベースのポリシー。リソースベースのポリシーを使用して、イベントデータストアへのクロスアカウントアクセスを提供できます。
+ ダッシュボードの更新スケジュールの設定時に定義した間隔で CloudTrail が CloudTrail Lake ダッシュボードを更新できるようにする、ダッシュボードのリソースベースのポリシー。詳細については、「[CloudTrail コンソールを使用してカスタムダッシュボードの更新スケジュールを設定する](lake-dashboard-refresh.md)」を参照してください。
### 例
CloudTrail リソースベースのポリシーの例を表示するには、「[AWS CloudTrail リソースベースのポリシーの例](security_iam_resource-based-policy-examples.md)」を参照してください。
## CloudTrail のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
CloudTrail アクションのリストを確認するには、「*サービス認可リファレンス*」の「[AWS CloudTrailで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-actions-as-permissions)」を参照してください。
CloudTrail のポリシーアクションは、アクションの前に以下のプレフィックスを使用します。
```
cloudtrail
```
たとえば、`ListTags` API オペレーションを使用して証跡のタグを一覧表示する権限を付与するには、ポリシーに `cloudtrail:ListTags` アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。CloudTrail は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"cloudtrail:AddTags",
"cloudtrail:ListTags",
"cloudtrail:RemoveTags
```
ワイルドカード (`*`) を使用すると、複数のアクションを指定することができます。例えば、`Get` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "cloudtrail:Get*"
```
## CloudTrail のポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
CloudTrail リソースのタイプとその ARN のリストを確認するには、「*サービス認可リファレンス*」の「[AWS CloudTrailで定義されるリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「[AWS CloudTrailで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-actions-as-permissions)」を参照してください。
CloudTrail には、証跡、イベントデータストア、ダッシュボード、チャネルの 4 つのリソースタイプがあります。リソースにはそれぞれ、一意の Amazon リソースネーム (ARN) が関連付けられています。ポリシーでは、ARN を使用して、ポリシーを適用するリソースを識別します。CloudTrail では、現在、しばしばサブリソースと呼ばれる他のリソースタイプはサポートされていません。
CloudTrail 証跡リソースには次のような ARN があります。
```
arn:${Partition}:cloudtrail:${Region}:${Account}:trail/{TrailName}
```
CloudTrail イベントデータストアリソースには次のような ARN があります。
```
arn:${Partition}:cloudtrail:${Region}:${Account}:eventdatastore/{EventDataStoreId}
```
CloudTrail ダッシュボードリソースには次のような ARN があります。
```
arn:${Partition}:cloudtrail:${Region}:${Account}:dashboard/{DashboardName}
```
CloudTrail チャネルリソースには次のような ARN があります。
```
arn:${Partition}:cloudtrail:${Region}:${Account}:channel/{ChannelId}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ID が *123456789012* AWS アカウント の の場合、 ステートメントで米国東部 (オハイオ) リージョンに存在する *My-Trail* という名前の証跡を指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-Trail"
```
その特定のアカウントに属するすべての証跡を指定するには AWS リージョン、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/*"
```
リソースの作成など、一部の CloudTrail アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード (`*`) を使用する必要があります。
```
"Resource": "*"
```
CloudTrail API アクションの多くが複数のリソースと関連します。例えば、`CreateTrail` にはログファイルを保存するための Amazon S3 バケットが必要です。したがって、ユーザーにはそのバケットへ書き込みするためのアクセス許可が必要です。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
## CloudTrail のポリシー条件キー
**サービス固有のポリシー条件キーへのサポート:** なし
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
CloudTrail は独自の条件キーを定義しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
CloudTrail の条件キーのリストを確認するには、「*サービス認可リファレンス*」の「[AWS CloudTrailの条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-actions-as-permissions)」を参照してください。
## CloudTrail の ACL
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## CloudTrail を使用した ABAC
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
タグを CloudTrail リソースにアタッチすることも、CloudTrail へのリクエストでタグを渡すこともできます。CloudTrail リソースのタグ付けの詳細については、「[CloudTrail コンソールで証跡を作成する](cloudtrail-create-a-trail-using-the-console-first-time.md) と [を使用した証跡の作成、更新、管理 AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli.md)」を参照してください。
## CloudTrail での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたは切り替えロールを使用する場合に自動的に作成されます。 AWS では、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## CloudTrail の転送アクセスセッション
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## CloudTrail のサービスロール
**サービスロールのサポート:** あり
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールのアクセス許可を変更すると、CloudTrail の機能が破損する可能性があります。CloudTrail が指示する場合以外は、サービスロールを編集しないでください。
## CloudTrail のサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
CloudTrail は、 との統合のためのサービスにリンクされたロールをサポートします AWS Organizations。このロールは、組織証跡またはイベントデータストアの作成に必要です。組織の証跡とイベントデータストアは、組織 AWS アカウント 内のすべての のログイベントを保存します。CloudTrail サービスにリンクされたロールの作成または管理の詳細については、「[CloudTrail サービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
# のアイデンティティベースのポリシーの例 AWS CloudTrail
デフォルトでは、ユーザーおよびロールには、CloudTrail リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
CloudTrail が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*サービス認証リファレンス*」の「[Actions, Resources, and Condition Keys for AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [例: 指定した証跡の許可および拒否アクション](#security_iam_id-based-policy-examples-allow-deny-for-specific-trail)
+ [例: 特定の証跡に対するアクションのポリシーの作成と適用](#grant-custom-permissions-for-cloudtrail-users-resource-level)
+ [例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否](#security_iam_id-based-policy-examples-eds-tags)
+ [CloudTrail コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [ユーザーが自分の許可を表示できるようにする](#security_iam_id-based-policy-examples-view-own-permissions)
+ [CloudTrail ユーザーにカスタムのアクセス許可を付与する](#grant-custom-permissions-for-cloudtrail-users)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、アカウント内で、CloudTrail リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
CloudTrail には、ポリシーステートメントの `Condition` 要素で使用できるサービス固有のコンテキストキーはありません。
## 例: 指定した証跡の許可および拒否アクション
次の例では、ポリシーを持つユーザーが証跡のステータスと設定を表示し、*My-First-Trail* という名前の証跡のログ記録を開始および停止できるようにするポリシーを示します。この証跡は、ID *123456789012* AWS アカウント の の米国東部 (オハイオ) リージョン (ホームリージョン) で作成されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:StartLogging",
"cloudtrail:StopLogging",
"cloudtrail:GetTrail",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetEventSelectors"
],
"Resource": [
"arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail"
]
}
]
}
```
------
以下の例は、*My-First-Trail* という名前でないトレイルについて CloudTrail アクションを明示的に拒否するポリシーを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloudtrail:*"
],
"NotResource": [
"arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail"
]
}
]
}
```
------
## 例: 特定の証跡に対するアクションのポリシーの作成と適用
アクセス許可とポリシーを使用して、ユーザーが CloudTrail 証跡に対して特定のアクションを実行できるかどうかを制御できます。
たとえば、社内のデベロッパーグループのユーザーが、特定の証跡のログ記録を開始または停止しないようにしようとする場合です。ただし、証跡で`DescribeTrails`および`GetTrailStatus`アクションを実行する権限を付与しようと思う場合もあります。また、デベロッパーグループのユーザー自らが管理する証跡では、`StartLogging` アクションまたは `StopLogging` アクションを実行する必要があります。
2 つのポリシーステートメントを作成し、それらを IAM に作成するデベロッパーグループにアタッチすることができます。IAM のグループの詳細については、*IAM ユーザーガイド*の「[IAM グループ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)」を参照してください。
最初のポリシーでは、指定する証跡 ARN の `StartLogging` アクションと `StopLogging` アクションを拒否します。次の例で、証跡 ARN は `arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail` です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1446057698000",
"Effect": "Deny",
"Action": [
"cloudtrail:StartLogging",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail"
]
}
]
}
```
------
2 番目のポリシーでは、すべての CloudTrail リソースに対する `DescribeTrails` アクションと `GetTrailStatus` アクションを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1446072643000",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrail",
"cloudtrail:GetTrailStatus"
],
"Resource": [
"*"
]
}
]
}
```
------
デベロッパーグループのユーザーが、最初のポリシーに指定された証跡に対してログ記録を開始または終了しようとした場合、そのユーザーはアクセス拒否の例外を受け取ります。デベロッパーグループのユーザーは、自らが作成して管理する証跡のログ記録を開始および停止することはできます。
次の例は、 という名前の AWS CLI プロファイルで設定された開発者グループを示しています`devgroup`。最初に、`devgroup` のユーザーが `describe-trails` コマンドを実行します。
```
$ aws --profile devgroup cloudtrail describe-trails
```
コマンドは以下の出力で正常に完了しました。
```
{
"trailList": [
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail",
"IsMultiRegionTrail": false,
"S3BucketName": "amzn-s3-demo-bucket",
"HomeRegion": "us-east-2"
}
]
}
```
次に、このユーザーは、最初のポリシーに指定された証跡に対する `get-trail-status` コマンドを実行します。
```
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
```
コマンドは以下の出力で正常に完了しました。
```
{
"LatestDeliveryTime": 1449517556.256,
"LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z",
"LatestNotificationAttemptSucceeded": "",
"LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-12-07T19:36:27Z",
"StartLoggingTime": 1449516987.685,
"StopLoggingTime": 1449516977.332,
"LatestNotificationAttemptTime": "",
"TimeLoggingStopped": "2015-12-07T19:36:17Z"
}
```
さらに、`devgroup` グループのユーザーが同じ証跡に対して `stop-logging` コマンドを実行します。
```
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
```
このコマンドでは次のようなアクセス拒否の例外が返されます。
```
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
```
このユーザーは同じ証跡に対して `start-logging` コマンドを実行します。
```
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
```
再びこのコマンドでは次のようなアクセス拒否の例外が返されます。
```
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
```
## 例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否
次のポリシー例では、次の条件のうち少なくとも 1 つが満たされない場合は、`CreateEventDataStore`でイベントデータストアを作成する権限が拒否されます。
+ イベントデータストア自体には`stage`のタグキーが適用されていません
+ ステージタグの値は`alpha`、`beta`、`gamma`、または`prod`のいずれでもありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloudtrail:CreateEventDataStore",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/stage": "true"
}
}
},
{
"Effect": "Deny",
"Action": "cloudtrail:CreateEventDataStore",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/stage": [
"alpha",
"beta",
"gamma",
"prod"
]
}
}
}
]
}
```
------
以下のポリシー例では、イベントデータストアに `prod` の値の `stage` タグがある場合、`DeleteEventDataStore`のイベントデータストアを削除するアクセス許可は拒否されます。このようなポリシーで、イベントデータストアが誤って削除されないように保護することができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloudtrail:DeleteEventDataStore",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
------
## CloudTrail コンソールの使用
AWS CloudTrail コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の CloudTrail リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
### CloudTrail 管理のためのアクセス許可の付与
IAM ロール、またはユーザーが証跡、イベントデータストア、チャネルなどの CloudTrail リソースを管理できるようにするには、CloudTrail タスクに関連付けられているアクションを実行するための明示的なアクセス許可を付与する必要があります。ほとんどの場合、事前定義されたアクセス許可を含む AWS 管理ポリシーを使用できます。
**注記**
CloudTrail の管理タスクを実行するためにユーザーに付与するアクセス許可は、Amazon S3 バケットにログファイルを配信、または Amazon SNS トピックに通知を送信するために、CloudTrail に必要なアクセス許可と同じではありません。これらのアクセス許可の詳細については、「[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md)」を参照してください。
Amazon CloudWatch Logs との統合を設定した場合、CloudTrail には Amazon CloudWatch Logs ロググループにイベントを配信するためのロールも必要です。CloudTrail が使用するロールを作成する必要があります。詳細については、「[CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](#grant-cloudwatch-permissions-for-cloudtrail-users)」および「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」を参照してください。
CloudTrail では、次の AWS 管理ポリシーを使用できます。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) — このポリシーは、証跡、イベントデータストア、チャネルなどの CloudTrail リソース上の CloudTrail アクションへのフルアクセスを提供します。このポリシーは、CloudTrail 証跡、イベントデータストア、およびチャネルを作成、更新、削除するために必要なアクセス許可を提供します。
また、これらのポリシーには、Amazon S3 バケット、CloudWatch Logs のロググループ、および証跡の Amazon SNS トピックを管理するためのアクセス許可も提供します。ただし、`AWSCloudTrail_FullAccess`管理ポリシーは、Amazon S3 バケット、CloudWatch Logs ログのロググループ、または Amazon SNS トピックを削除するためのアクセス許可は提供していません。他の の マネージドポリシーの詳細については AWS のサービス、「 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)」を参照してください。
**注記**
この**AWSCloudTrail\$1FullAccess**ポリシーは、 間で広く共有されることを意図していません AWS アカウント。このロールを持つユーザーは、 AWS アカウントで最も機密かつ重要な監査機能を無効にしたり、再設定したりすることができます。このため、このポリシーはアカウント管理者にのみ適用する必要があります。このポリシーの使用を厳重に管理および監視する必要があります。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) — このポリシーは最近のイベントやイベント履歴を含む CloudTrail コンソールを表示する権限を付与します。また、このポリシーにより、既存の証跡、イベントデータストア、およびチャネルを表示することもできます。このポリシーが適用されているロールとユーザーは[イベント履歴をダウンロード](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events)できますが、証跡、イベントデータストア、またはチャンネルを作成または更新することはできません。
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
#### その他のリソース
IAM を使用してユーザーやロールなどの ID にアカウント内のリソースへのアクセスを許可する方法の詳細については、[「IAM ユーザーガイド」の](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html)「IAM のセットアップ」および[AWS 「リソースのアクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。 **
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
## ユーザーが自分の許可を表示できるようにする
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## CloudTrail ユーザーにカスタムのアクセス許可を付与する
CloudTrail ポリシーによって、CloudTrail を使用して作業するユーザーにアクセス許可を付与します。ユーザーにそれぞれ異なるアクセス許可を付与する必要がある場合、CloudTrail ポリシーは IAM グループにアタッチすることも各ユーザーにアタッチすることもできます。ポリシーを編集して、特定のアクセス許可を含めたり除外したりすることができます。独自のカスタムポリシーを作成することもできます。ポリシーとは、ユーザーが実行を許可されているアクションと、ユーザーが実行を許可されているアクションの対象となるリソースを定義する JSON ドキュメントです。個別の例については、「[例: 指定した証跡の許可および拒否アクション](#security_iam_id-based-policy-examples-allow-deny-for-specific-trail)」および「[例: 特定の証跡に対するアクションのポリシーの作成と適用](#grant-custom-permissions-for-cloudtrail-users-resource-level)」を参照してください。
**Contents**
+ [読み取り専用アクセス](#grant-custom-permissions-for-cloudtrail-users-read-only)
+ [フル アクセス](#grant-custom-permissions-for-cloudtrail-users-full-access)
+ [CloudTrail コンソールで AWS Config 情報を表示するアクセス許可の付与](#grant-aws-config-permissions-for-cloudtrail-users)
+ [CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](#grant-cloudwatch-permissions-for-cloudtrail-users)
+ [追加情報](#cloudtrail-notifications-more-info-2)
### 読み取り専用アクセス
次の例は、CloudTrail 証跡に対する読み取り専用アクセスを許可するポリシーです。これはマネージドポリシー **AWSCloudTrail\$1ReadOnlyAccess** に相当します。これによってユーザーに付与されるアクセス許可は証跡の情報を見るためのもので、証跡を作成または更新することはできません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:Get*",
"cloudtrail:Describe*",
"cloudtrail:List*",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
このポリシーステートメントの `Effect` 要素で、アクションが許可されるか拒否されるかを指定します。`Action` 要素には、ユーザーによる実行を許可する特定のアクションを指定します。`Resource` 要素には、ユーザーがこれらのアクションを実行できる AWS リソースが一覧表示されます。CloudTrail アクションへのアクセスを制御するポリシーの場合、`Resource` 要素には通常は `*` を設定します。これは "すべてのリソース" を意味するワイルドカードです。
`Action` 要素の値は、サービスがサポートする API に対応しています。アクションの前に `cloudtrail:` を付けることで、CloudTrail のアクションを指すことを示します。次の例に示すように、`*` ワイルドカード文字を `Action` 要素で使用できます。
+ `"Action": ["cloudtrail:*Logging"]`
これは、"Logging" が末尾に付いているすべての CloudTrail アクション (`StartLogging`、`StopLogging`) を許可します。
+ `"Action": ["cloudtrail:*"]`
これにより、すべての CloudTrail アクションが許可されますが、他の AWS サービスのアクションは許可されません。
+ `"Action": ["*"]`
これにより、すべての AWS アクションが許可されます。このアクセス許可は、アカウントの AWS 管理者として行動するユーザーに適しています。
読み取り専用ポリシーでは、`CreateTrail`、`UpdateTrail`、`StartLogging`、`StopLogging` の各アクションのアクセス許可はユーザーに付与されません。このポリシーを持つユーザーは、証跡の作成、証跡の更新、ログ記録のオンとオフの切り替えを行うことはできません。CloudTrail アクションの完全なリストについては、「[AWS CloudTrail API リファレンス](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/)」を参照してください。
### フル アクセス
次の例に示すのは、CloudTrail へのフルアクセスを付与するポリシーです。これはマネージドポリシー **AWSCloudTrail\$1FullAccess** に相当します。これは、すべての CloudTrail アクションを実行するアクセス許可をユーザーに付与します。また、ユーザーは Amazon S3 と AWS Lambdaでデータイベントを記録し、Amazon S3 バケットでファイルを管理し、CloudWatch Logs が CloudTrail ログイベントを監視する方法をモニタリングし、ユーザーが関連付けられているアカウントで Amazon SNS トピックを管理できます。
**重要**
**AWSCloudTrail\$1FullAccess** ポリシーまたは同等のアクセス許可は、 AWS アカウント間で広く共有されることを意図していません。このロールまたは同等のアクセス権を持つユーザーは、 AWS アカウントで最も機密性が高く重要な監査機能を無効化または再設定できます。そのため、このポリシーはアカウント管理者にのみ適用され、このポリシーの使用は厳密に制御および監視する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:SetTopicAttributes",
"sns:GetTopicAttributes"
],
"Resource": [
"arn:aws:sns:*:*:aws-cloudtrail-logs*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPolicy"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-logging-bucket1*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudtrail:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "cloudtrail.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:CreateKey",
"kms:CreateAlias",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"dynamodb:ListGlobalTables",
"dynamodb:ListTables"
],
"Resource": "*"
}
]
}
```
------
### CloudTrail コンソールで AWS Config 情報を表示するアクセス許可の付与
イベント情報は、そのイベントに関連するリソースを含めて、CloudTrail コンソールで表示することができます。これらのリソースでは、 AWS Config アイコンを選択して、そのリソースのタイムラインを AWS Config コンソールで表示できます。このポリシーをユーザーにアタッチして、読み取り専用 AWS Config アクセスを許可します。このポリシーでは、 AWS Configの設定を変更するアクセス許可は付与されません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
}]
}
```
------
詳細については、「[で参照されるリソースの表示 AWS Config](view-cloudtrail-events-console.md#viewing-resources-config) 」を参照してください。
### CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する
十分なアクセス許可がある場合は、CloudTrail コンソールで CloudWatch Logs へのイベントの配信を表示および設定できます。これらは、CloudTrail 管理者に付与されているものを超える可能性があるアクセス許可です。CloudTrail と CloudWatch Logs の統合を設定および管理する管理者にこのポリシーをアタッチします。このポリシーは、CloudTrail または CloudWatch Logs で直接アクセス許可を付与するのではなく、CloudTrail がイベントを CloudWatch Logs グループに正常に配信するために想定するロールを作成および設定するために必要なアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
}]
}
```
------
詳細については、「[Amazon CloudWatch Logs による CloudTrail ログファイルのモニタリング](monitor-cloudtrail-log-files-with-cloudwatch-logs.md) 」を参照してください。
### 追加情報
IAM を使用してユーザーやロールなどの ID にアカウント内のリソースへのアクセスを許可する方法の詳細については、IAM [https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html)ユーザーガイドの[AWS 「リソースの開始方法とアクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。 **
# AWS CloudTrail リソースベースのポリシーの例
このセクションでは、CloudTrail Lake ダッシュボード、イベントデータストア、およびチャネルのリソースベースのポリシーの例を示します。
CloudTrail は、次のタイプのリソースベースのポリシーをサポートしています。
+ CloudTrail Lake と 外のイベントソースの統合に使用されるチャネルのリソースベースのポリシー AWS。チャネルのリソースベースのポリシーでは、チャネル上で `PutAuditEvents` を呼び出して送信先のイベントデータストアにイベントを送信できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーションユーザー) を定義します。CloudTrail Lake との統合の作成の詳細については、「[の外部でイベントソースとの統合を作成する AWS](query-event-data-store-integration.md)」を参照してください。
+ どのプリンシパルがイベントデータストアでアクションを実行できるかを制御するリソースベースのポリシー。リソースベースのポリシーを使用して、イベントデータストアへのクロスアカウントアクセスを提供できます。
+ ダッシュボードの更新スケジュールの設定時に定義した間隔で CloudTrail が CloudTrail Lake ダッシュボードを更新できるようにする、ダッシュボードのリソースベースのポリシー。詳細については、「[CloudTrail コンソールを使用してカスタムダッシュボードの更新スケジュールを設定する](lake-dashboard-refresh.md)」を参照してください。
**Topics**
+ [チャネルのリソースベースのポリシーの例](#security_iam_resource-based-policy-examples-channels)
+ [イベントデータストアのリソースベースのポリシーの例](#security_iam_resource-based-policy-examples-eds)
+ [ダッシュボードのリソースベースのポリシーの例](#security_iam_resource-based-policy-examples-dashboards)
## チャネルのリソースベースのポリシーの例
チャネルのリソースベースのポリシーでは、チャネル上で `PutAuditEvents` を呼び出して送信先のイベントデータストアにイベントを送信できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーションユーザー) を定義します。
ポリシーに必要な情報は、統合タイプによって決まります。
+ 直接統合の場合、CloudTrail ではポリシーにパートナーの AWS アカウント ID を含める必要があり、パートナーから提供された固有の外部 ID を入力する必要があります。CloudTrail コンソールを使用して統合を作成すると、CloudTrail はパートナーの AWS アカウント IDs をリソースポリシーに自動的に追加します。ポリシーに必要な AWS アカウント 番号を取得する方法については、[パートナーのドキュメント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html#cloudtrail-lake-partner-information#lake-integration-partner-documentation)を参照してください。
+ ソリューション統合では、少なくとも 1 つの AWS アカウント ID をプリンシパルとして指定する必要があり、必要に応じて外部 ID を入力して混乱した代理を防ぐことができます。
リソースベースのポリシーの要件は次のとおりです。
+ ポリシーには、少なくとも 1 つのステートメントを含めます。ポリシーには、最大 20 個のステートメントを記述できます。
+ 各ステートメントには、少なくとも 1 つのプリンシパルを含めます。プリンシパルは、アカウント、ユーザー、ロール、またはフェデレーションユーザーです。1 つのステートメントには、最大 50 個のプリンシパルを記述できます。
+ ポリシーで定義されているリソース ARN は、ポリシーがアタッチされているチャネル ARN と一致する必要があります。
+ ポリシーには、 1 つのアクションのみを含めます。`cloudtrail-data:PutAuditEvents`
所有者によるリソースへのアクセスがポリシーで拒否されていない限り、チャネル所有者はチャネルで `PutAuditEvents` API を呼び出すことができます。
**Topics**
+ [例: プリンシパルへのチャネルアクセス権の付与](#security_iam_resource-based-policy-examples-principals)
+ [例: 外部 ID を使用して混乱した代理問題を防止する](#security_iam_resource-based-policy-examples-externalID)
### 例: プリンシパルへのチャネルアクセス権の付与
次の例では、ARN `arn:aws:iam::111122223333:root`、`arn:aws:iam::444455556666:root`、および `arn:aws:iam::123456789012:root` を持つプリンシパルに、ARN `arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b` を使用して CloudTrail チャネルの [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) API を呼び出すアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
}
]
}
```
------
### 例: 外部 ID を使用して混乱した代理問題を防止する
次の例では、外部 ID を使用して[混乱した代理問題](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cross-service-confused-deputy-prevention.html)に対処し防止しています。混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。
統合パートナーはポリシーで使用する外部 ID を作成します。次に、統合の作成の一環として、統合パートナーは外部 ID を提供します。値は、パスフレーズやアカウント番号など、一意であればどんな文字列でもかまいません。
この例では、ARN `arn:aws:iam::111122223333:root`、`arn:aws:iam::444455556666:root`、および `arn:aws:iam::123456789012:root` を持つプリンシパルに、ポリシーで定義された外部 ID 値が `PutAuditEvents` API の呼び出しに含まれていれば CloudTrail チャネルリソースで [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) API を呼び出すことができるアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
}
]
}
```
------
## イベントデータストアのリソースベースのポリシーの例
リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。
リソースベースのポリシーを使用すると、クロスアカウントアクセスを提供して、選択したプリンシパルがイベントデータストアにクエリを実行したり、クエリを一覧表示およびキャンセルしたり、クエリ結果を表示したりするのを許可できます。
CloudTrail Lake ダッシュボードでは、リソースベースのポリシーを使用して、ダッシュボードが更新されたときに CloudTrail がイベントデータストアでクエリを実行してダッシュボードのウィジェットのデータを入力するのを許可します。CloudTrail Lake では、[カスタムダッシュボードを作成する](lake-dashboard-custom.md)とき、または CloudTrail コンソールで [Highlights ダッシュボードを有効にする](lake-dashboard-highlights.md)ときに、デフォルトのリソースベースのポリシーをイベントデータストアにアタッチできます。
イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
イベントデータストアを[作成](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure)または[更新](query-event-data-store-update.md)したり、CloudTrail コンソールでダッシュボードを管理したりすると、イベントデータストアにリソースベースのポリシーを追加するオプションが提供されます。[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html) コマンドを実行して、リソースベースのポリシーをイベントデータストアにアタッチすることもできます。
リソースベースのポリシーは 1 つ以上のステートメントで構成されます。例えば、CloudTrail がダッシュボードのイベントデータストアをクエリできるようにするステートメントと、イベントデータストアをクエリするためのクロスアカウントアクセスを許可するステートメントを 1 つずつ含めることができます。CloudTrail コンソールのイベントデータストアの詳細ページから、既存のイベントデータストアのリソースベースのポリシーを[アップデート](query-event-data-store-update.md)できます。
[組織イベントデータストア](cloudtrail-lake-organizations.md)の場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示する[デフォルトのリソースベースのポリシー](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)を作成します。このポリシーのアクセス許可は、 AWS Organizationsの委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。
**Topics**
+ [例: CloudTrail がクエリを実行してダッシュボードを更新できるようにする](#security_iam_resource-based-policy-examples-eds-dashboard)
+ [例: 他のアカウントがイベントデータストアのクエリとクエリ結果の表示を行えるようにする](#security_iam_resource-based-policy-examples-eds-query)
### 例: CloudTrail がクエリを実行してダッシュボードを更新できるようにする
更新中に CloudTrail Lake ダッシュボードにデータを入力するには、CloudTrail がユーザーに代わってクエリを実行できるようにする必要があります。これを行うには、ダッシュボードウィジェットに関連付けられた各イベントデータストアにリソースベースのポリシーをアタッチします。これには、CloudTrail がウィジェットのデータを入力する `StartQuery` オペレーションを実行できるようにするステートメントが含まれます。
ステートメントの要件を以下に示します。
+ 唯一の `Principal` は `cloudtrail.amazonaws.com` です。
+ 許可されている `Action` は `cloudtrail:StartQuery` のみです。
+ には、ダッシュボード ARN (複数可) と AWS アカウント ID `Condition`のみが含まれます。`AWS:SourceArn` では、ダッシュボード ARN の配列を提供できます。
次のポリシーの例には、CloudTrail が `example-dashboard1` および `example-dashboard2` という名前の 2 つのカスタムダッシュボード、ならびにアカウント `123456789012` の `AWSCloudTrail-Highlights` という名前の Highlights ダッシュボードのイベントデータストアでクエリを実行できるようにするステートメントが含まれています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "cloudtrail.amazonaws.com"
},
"Action":
[
"cloudtrail:StartQuery"
],
"Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
"Condition": {
"StringLike": {
"AWS:SourceArn": [
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1",
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2",
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights"
],
"AWS:SourceAccount": "123456789012"
}
}
}
]
}
```
------
### 例: 他のアカウントがイベントデータストアのクエリとクエリ結果の表示を行えるようにする
リソースベースのポリシーを使用して、イベントデータストアへのクロスアカウントアクセスを提供し、他のアカウントがイベントデータストアでクエリを実行できるようにします。
次のポリシーの例には、アカウント `111122223333`、`777777777777`、`999999999999`、および `111111111111` のルートユーザーが、アカウント ID `555555555555` が所有するイベントデータストアでクエリを実行し、クエリ結果を取得できるようにするステートメントが含まれています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "policy1",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::777777777777:root",
"arn:aws:iam::999999999999:root",
"arn:aws:iam::111111111111:root"
]
},
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:GetEventDataStore",
"cloudtrail:GetQueryResults"
],
"Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf"
}
]
}
```
------
## ダッシュボードのリソースベースのポリシーの例
CloudTrail Lake ダッシュボードの更新スケジュールを設定できます。これにより、CloudTrail は更新スケジュールを設定するときに定義した間隔でユーザーに代わってダッシュボードを更新できます。これを行うには、リソースベースのポリシーをダッシュボードにアタッチして、CloudTrail がダッシュボードで `StartDashboardRefresh` オペレーションを実行できるようにする必要があります。
リソースベースのポリシーの要件は次のとおりです。
+ 唯一の `Principal` は `cloudtrail.amazonaws.com` です。
+ ポリシーで許可されている `Action` は `cloudtrail:StartDashboardRefresh` のみです。
+ には、ダッシュボードの ARN と AWS アカウント ID `Condition`のみが含まれます。
次のポリシー例では、CloudTrail がアカウント `123456789012` の `exampleDash` という名前のダッシュボードを更新できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "cloudtrail.amazonaws.com"
},
"Action":
[
"cloudtrail:StartDashboardRefresh"
],
"Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash",
"AWS:SourceAccount":"123456789012"
}
}
}
]
}
```
------
# CloudTrail の Amazon S3 バケットポリシー
デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。リソース所有者 (バケットを作成した AWS アカウント) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
Amazon S3 バケットを作成または変更して組織の証跡のログファイルを受け取れるようにするには、バケットポリシーを変更する必要があります。詳細については、「[を使用して組織の証跡を作成する AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md)」を参照してください。
S3 バケットにログファイルを配信するためには、CloudTrail に必要なアクセス権限がある必要があり、[リクエスタ支払い](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html)バケットとして設定することはできません。
CloudTrail は、ポリシーに以下のフィールドを追加します。
+ 許可された SID。
+ バケット名。
+ CloudTrail のサービスプリンシパル名。
+ バケット名、プレフィックス (指定した場合)、 AWS アカウント ID など、ログファイルが保存されているフォルダの名前
セキュリティのベストプラクティスとして、`aws:SourceArn` 条件キーを Amazon S3 バケットポリシーに追加します。IAM グローバル条件キー `aws:SourceArn` は、CloudTrail が特定の 1 つまたは複数の証跡に対してのみ S3 バケットに書き込めるようにするのに役立ちます。`aws:SourceArn` の値は常に、ログを格納するためにバケットを使用している証跡の ARN (または証跡 ARN の配列) になります。既存の証跡の S3 バケットポリシーに `aws:SourceArn` 条件キーを必ず追加してください。
**注記**
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
次のポリシーでは、CloudTrail がサポートされている からバケットにログファイルを書き込むことを許可します AWS リージョン。*amzn-s3-demo-bucket*、*[optionalPrefix]/*、*myAccountID*、*region*、および *trailName* を設定の適切な値に置き換えます。
**S3 バケットポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optionalPrefix]/AWSLogs/myAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
}
]
}
```
------
詳細については AWS リージョン、「」を参照してください[CloudTrail がサポートされているリージョン](cloudtrail-supported-regions.md)。
**Contents**
+ [CloudTrail ログ配信の既存のバケットを指定する](#specify-an-existing-bucket-for-cloudtrail-log-delivery)
+ [他のアカウントからログファイルを受信](#aggregration-option)
+ [組織の証跡のログファイルを保存するために使用する Amazon S3 バケットを作成または更新する](#org-trail-bucket-policy)
+ [Amazon S3 バケットポリシーのトラブルシューティング](#troubleshooting-s3-bucket-policy)
+ [一般的な Amazon S3 ポリシー設定のエラー](#s3-bucket-policy-for-multiple-regions)
+ [既存のバケットのプレフィックスを変更する](#cloudtrail-add-change-or-remove-a-bucket-prefix)
+ [その他のリソース](#cloudtrail-S3-bucket-policy-resources)
## CloudTrail ログ配信の既存のバケットを指定する
ログファイル配信の保存場所として既存の S3 バケットを指定した場合、CloudTrail がバケットに書き込むことを許可するバケットにポリシーをアタッチする必要があります。
**注記**
ベストプラクティスとして、CloudTrail ログ用に専用 S3 バケットを使用します。
**必要な CloudTrail ポリシーを Amazon S3 バケットに追加するには**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. CloudTrail でログファイルを配信するバケットを選択し、**[Permissions]** (アクセス許可) を選択します。
1. **[編集]** を選択します。
1. [S3 bucket policy](#s3-bucket-policy) を [**Bucket Policy Editor**] ウィンドウにコピーします。イタリック体のプレースホルダーを、バケット、プレフィックス、アカウント番号の名前に置き換えます。証跡の作成時にプレフィックスを指定した場合は、ここに含めます。プレフィックスは、バケットにフォルダのような組織を作成する S3 オブジェクトキーへのオプションの追加です。
**注記**
既存のバケットにすでに 1 つ以上のポリシーがアタッチされている場合は、そのポリシーに CloudTrail アクセスのステートメントを追加します。バケットにアクセスするユーザーに適していることを確認するために、作成したアクセス権限のセットを評価します。
## 他のアカウントからログファイルを受信
複数の AWS アカウントから 1 つの S3 バケットにログファイルを配信するように CloudTrail を設定できます。詳細については、「[複数のアカウントから CloudTrail ログファイルを受け取る他のアカウントでコールされたデータイベントのバケット所有者アカウント ID を秘匿化する](cloudtrail-receive-logs-from-multiple-accounts.md)」を参照してください。
## 組織の証跡のログファイルを保存するために使用する Amazon S3 バケットを作成または更新する
組織の証跡のログファイルを受信するには、Amazon S3 バケットを指定する必要があります。このバケットには、CloudTrail が組織のログファイルをバケットに入れることを許可するポリシーが必要です。
以下は、組織の管理アカウントが所有する *amzn-s3-demo-bucket* という名前が付けられた Amazon S3 バケット用ポリシのー例です。*amzn-s3-demo-bucket*、*region*、*managementAccountID*、*trailName*、*o-organizationID* を組織の値に置き換える
このバケットには、3 つのステートメントがあります。
+ 最初のステートメントで、CloudTrail は Amazon S3 バケット上の Amazon S3 `GetBucketAcl` アクションを呼び出すことができます。
+ 2 番目のステートメントでは、証跡が組織の証跡からそのアカウントの証跡にのみ変更された場合にログに記録することを許可します。
+ 3 番目のステートメントでは、組織証跡をログに記録することが可能になります。
ポリシー例には、Amazon S3 バケットポリシーの `aws:SourceArn` 条件キーが含まれています。IAM グローバル条件キー `aws:SourceArn` は、CloudTrail が特定の 1 つまたは複数の証跡に対してのみ S3 バケットに書き込めるようにするのに役立ちます。組織の証跡の場合、`aws:SourceArn` の値は管理アカウントで保持され、管理アカウント ID を使用する証跡の ARN である必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/managementAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailOrganizationWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/o-organizationID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
}
]
}
```
------
このポリシー例では、メンバーアカウントのユーザーが組織用に作成されたログファイルにアクセスすることを許可していません。デフォルトでは、組織のログファイルは管理アカウントにのみアクセスできます。メンバーアカウントの IAM ユーザーに対して Amazon S3 バケットへの読み取りアクセスを許可する方法については、「[AWS アカウント間の CloudTrail ログファイルの共有](cloudtrail-sharing-logs.md)」を参照してください。
## Amazon S3 バケットポリシーのトラブルシューティング
以下のセクションでは、S3 バケットポリシーをトラブルシューティングする方法について説明します。
**注記**
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
### 一般的な Amazon S3 ポリシー設定のエラー
証跡の作成または更新の一部として新しいバケットを作成すると、CloudTrail は必要なアクセス権限をバケットにアタッチします。このバケットポリシーでは、サービスプリンシパル名、`"cloudtrail.amazonaws.com"` を使用します。これにより、CloudTrail がすべてのリージョンのログを配信できるようになります。
CloudTrail が、リージョンのログを配信していない場合、バケットには各リージョンの CloudTrail アカウント ID を指定する古いポリシーがある可能性があります。このポリシーは、指定されたリージョンのみで、ログを配信するためのアクセス権限を CloudTrail 与えます。
ベストプラクティスとして、CloudTrail サービスプリンシパルでアクセス権限を使用するようにポリシーを更新します。これを行うには、アカウント ID ARN をサービスプリンシパル名 `"cloudtrail.amazonaws.com"` に置き換えます。これにより、現在および新しいリージョンのログを配信する CloudTrail にアクセス権限が与えられます。セキュリティのベストプラクティスとして、Amazon S3 バケットポリシーに `aws:SourceArn` または `aws:SourceAccount` 条件キーを追加します。これにより、S3 バケットへの不正なアカウントアクセスを防止できます。既存の証跡がある場合は、必ず 1つまたは複数の条件キーを追加してください。次の例は、推奨されるポリシーの設定を示しています。*amzn-s3-demo-bucket*、*[optionalPrefix]/*、*myAccountID*、*region*、および *trailName* を設定の適切な値に置き換えます。
**Example サービスプリンシパル名を使用したバケットポリシーの例**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optionalPrefix]/AWSLogs/myAccountID/*",
"Condition": {"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
}
]
}
```
### 既存のバケットのプレフィックスを変更する
証跡からログを受け取る S3 バケットのログファイルプレフィックスを追加、変更、または削除しようとすると、次のエラー 「**There is a problem with the bucket policy (バケットバケットポリシーに問題があります)** 」が表示されることがあります。その場合、バケットポリシーに問題があります。誤ったプレフィックスを使用しているバケットポリシーは、証跡がログをバケットに配信されないようにすることができます。この問題を解決するには、Amazon S3 コンソールを使用して、バケットポリシーのプレフィックスを更新し、CloudTrail コンソールを使用して、証跡のバケットに同じプレフィックスを指定します。
**Amazon S3 バケットのログファイルプレフィックスを更新するには**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. プレフィックスを変更するバケットを選択し、**[Permissions]** (アクセス許可) を選択します。
1. **[編集]** を選択します。
1. バケットポリシーで、`s3:PutObject` アクションの下で、`Resource` エントリを編集して、必要に応じてログファイル*prefix/* を追加、変更、削除します。
```
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*",
```
1. **[Save]** (保存) を選択します。
1. CloudTrail コンソールの [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) を開いてください。
1. 証跡を選択し、**Storage location** の場合は鉛筆アイコンをクリックして、バケットの設定を編集します。
1. **S3 バケット** の場合は、変更するプレフィックスを持つバケットを選択します。
1. **Log file prefix** の場合は、バケットポリシーに入力したプレフィックスに一致するようにプレフィックスを更新します。
1. **[Save]** (保存) を選択します。
## その他のリソース
S3 バケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「[バケットポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」を参照してください。
# CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー
デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。リソース所有者 (バケットを作成した AWS アカウント) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
S3 バケットに CloudTrail Lake ファイルを配信するためには、CloudTrail に必要なアクセス権限がある必要があり、[[Requester Pays]](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) (リクエスタ支払い) バケットとして設定することはできません。
CloudTrail は、ポリシーに以下のフィールドを追加します。
+ 許可された SID。
+ バケット名。
+ CloudTrail のサービスプリンシパル名。
セキュリティのベストプラクティスとして、`aws:SourceArn` 条件キーを Amazon S3 バケットポリシーに追加します。IAM グローバル条件キー `aws:SourceArn` は、CloudTrail がイベントデータストアに対してのみ S3 バケットに書き込めるようにするのに役立ちます。
次のポリシーでは、CloudTrail がサポートされている AWS リージョン からクエリ結果をバケットに書き込むことを許可します。*amzn-s3-demo-bucket*、*myAccountID*、*myQueryRunningRegion* を、ご使用の設定に適した値に置き換えてます。*myAccountID* は CloudTrail に使用される AWS アカウント ID であり、S3 バケットの AWS アカウント ID とは異なる場合があります。
**注記**
バケットポリシーが KMS キーに関するステートメントを含む場合には、完全修飾 KMS キー ARN を使用することをお勧めします。代わりに KMS キーエイリアスを使用する場合、 はリクエスタのアカウント内のキーを AWS KMS 解決します。この動作により、バケット所有者ではなく、リクエスタに属する KMS キーでデータが暗号化される可能性があります。
これが組織のイベントデータストアである場合は、そのイベントデータストアの ARN に、管理アカウントの AWS アカウント ID が含まれている必要があります。これは、管理アカウントがすべての組織リソースの所有権を保持しているためです。
**S3 バケットポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailLake1",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:sourceAccount": "111111111111"
},
"ArnLike": {
"aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
}
}
},
{
"Sid": "AWSCloudTrailLake2",
"Effect": "Allow",
"Principal": {"Service":"cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:sourceAccount": "111111111111"
},
"ArnLike": {
"aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
}
}
}
]
}
```
------
**Contents**
+ [CloudTrail Lake クエリ結果の既存のバケットを指定する](#specify-an-existing-bucket-for-cloudtrail-query-results-delivery)
+ [その他のリソース](#cloudtrail-lake-S3-bucket-policy-resources)
## CloudTrail Lake クエリ結果の既存のバケットを指定する
CloudTrail Lake クエリ結果配信のストレージの場所として既存の S3 バケットを指定した場合は、CloudTrail がクエリ結果をバケットに配信できるようにするポリシーをバケットにアタッチする必要があります。
**注記**
ベストプラクティスとして、CloudTrail Lake クエリ結果専用 S3 バケットを使用します。
**必要な CloudTrail ポリシーを Amazon S3 バケットに追加するには**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. CloudTrail Lake クエリ結果ファイルを配信するバケットを選択し、**[Permissions]** (アクセス許可) を選択します。
1. **[編集]** を選択します。
1. [S3 bucket policy for query results](#s3-bucket-policy-lake-query) を [**Bucket Policy Editor**] ウィンドウにコピーします。イタリック体のプレースホルダーを、バケット、リージョン、アカウント ID の名前に置き換えます。
**注記**
既存のバケットにすでに 1 つ以上のポリシーがアタッチされている場合は、そのポリシーに CloudTrail アクセスのステートメントを追加します。バケットにアクセスするユーザーに適していることを確認するために、作成したアクセス権限のセットを評価します。
## その他のリソース
S3 バケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「[バケットポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」を参照してください。
# CloudTrail の Amazon SNS トピックポリシー
SNS トピックに通知を送信するには、CloudTrail が必要なアクセス許可を持っている必要があります。Amazon SNS トピックを CloudTrail コンソールでの証跡の作成あるいは更新の一部として作成するとき、CloudTrail はバケットに必要なアクセス権限を自動的にアタッチします。
**重要**
セキュリティのベストプラクティスとして、SNS トピックへのアクセスを制限するために、SNS 通知を送信する証跡を作成または更新した後、SNS トピックにアタッチされている IAM ポリシーを手動で編集して条件キーを追加することを強くお勧めします。詳細については、このトピックの「[SNS トピックポリシーのセキュリティのベストプラクティス](#cloudtrail-sns-notifications-policy-security)」を参照してください。
CloudTrail は、次のフィールドを使用して、ポリシーに次のステートメントを追加します。
+ 許可された SID。
+ CloudTrail のサービスプリンシパル名。
+ SNS トピック (リージョン、アカウント ID、およびトピック名を含む)。
次のポリシーを使用すると、CloudTrail はサポートされているリージョンからログファイルの配信に関する通知を送信できるようになります。詳細については、「[CloudTrail がサポートされているリージョン](cloudtrail-supported-regions.md) 」を参照してください。これは、証跡を作成または更新し、SNS 通知を有効にするときに新規または既存の SNS トピックポリシーにアタッチされるデフォルトのポリシーです。
**SNS トピックポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111111111111:SNSTopicName"
}
]
}
```
------
AWS KMS暗号化された Amazon SNS トピックを使用して通知を送信するには、次のステートメントを のポリシーに追加して、イベントソース (CloudTrail) と暗号化されたトピックとの互換性も有効にする必要があります AWS KMS key。
**KMS キーポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
詳細については、[「 AWS サービスからのイベントソースと暗号化されたトピック間の互換性を有効にする](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#compatibility-with-aws-services)」を参照してください。
**Contents**
+ [SNS トピックポリシーのセキュリティのベストプラクティス](#cloudtrail-sns-notifications-policy-security)
+ [通知の送信用に既存のトピックを指定する](#specifying-an-existing-topic-for-sns-notifications)
+ [SNS トピックポリシーのトラブルシューティング](#troubleshooting-sns-topic-policy)
+ [CloudTrail がリージョンの通知を送信しない](#sns-topic-policy-for-multiple-regions)
+ [CloudTrail が組織内のメンバーアカウントに通知を送信しない](#sns-topic-policy-authorization-failure)
+ [その他のリソース](#cloudtrail-notifications-more-info-5)
## SNS トピックポリシーのセキュリティのベストプラクティス
デフォルトでは、CloudTrail が Amazon SNS トピックにアタッチする IAM ポリシーステートメントにより、CloudTrail サービスプリンシパルが ARN によって識別される SNS トピックに発行できるようになります。攻撃者が SNS トピックにアクセスしたり、CloudTrail に代わってトピック受信者に通知を送信したりすることを防ぐには、CloudTrail SNS トピックポリシーを手動で編集して、`aws:SourceArn` 条件キーを CloudTrail によってアタッチされたポリシーステートメントに追加します。このキーの値は、証跡の ARN、または SNS トピックを使用している証跡 ARN の配列です。特定の証跡 ID と証跡を所有するアカウント ID の両方が含まれているため、SNS トピックへのアクセスは証跡を管理するアクセス許可を持つアカウントのみに制限されます。SNS トピックポリシーに条件キーを追加する前に、CloudTrail コンソールの証跡の設定から SNS トピック名を取得します。
`aws:SourceAccount` 条件キーもサポートされていますが、推奨されません。
**`aws:SourceArn` 条件キーを SNS トピックポリシーに追加するには**
1. Amazon SNS コンソールの[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)を開いてください。
1. ナビゲーションペインで、**[トピック]** を選択してください。
1. 証跡設定に表示される SNS トピックを選択し、[**編集**] を選択します。
1. [**アクセスポリシー**] を展開します。
1. **アクセスポリシー** JSON エディタで、次の例のようなブロックを探します。
```
{
"Sid": "AWSCloudTrailSNSPolicy20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496"
}
```
1. 次の例に示すように、条件 `aws:SourceArn` 用の新しいブロックを追加します。の値`aws:SourceArn`は、SNS に通知を送信するトレイルの ARN です。
```
{
"Sid": "AWSCloudTrailSNSPolicy20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail/Trail3"
}
}
}
```
1. SNS トピックポリシーの編集が終了したら、[**変更の保存**] を選択します。
**`aws:SourceAccount` 条件キーを SNS トピックポリシーに追加するには**
1. Amazon SNS コンソールの[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)を開いてください。
1. ナビゲーションペインで、**[トピック]** を選択してください。
1. 証跡設定に表示される SNS トピックを選択し、[**編集**] を選択します。
1. [**アクセスポリシー**] を展開します。
1. **アクセスポリシー** JSON エディタで、次の例のようなブロックを探します。
```
{
"Sid": "AWSCloudTrailSNSPolicy20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496"
}
```
1. 次の例に示すように、条件 `aws:SourceAccount` 用の新しいブロックを追加します。`aws:SourceAccount` の値は CloudTrail 証跡を所有するアカウントの ID です。この例では、SNS トピックへのアクセスを、 AWS アカウント 123456789012 にサインインできるユーザーのみに制限します。
```
{
"Sid": "AWSCloudTrailSNSPolicy20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
```
1. SNS トピックポリシーの編集が終了したら、[**変更の保存**] を選択します。
## 通知の送信用に既存のトピックを指定する
Amazon SNS コンソールでAmazon SNS トピックのトピックポリシーへのアクセス許可を手動で追加した後、CloudTrail コンソールでトピックを指定できます。
**SNS トピックポリシーを手動で更新するには**
1. Amazon SNS コンソールの[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)を開いてください。
1. [**Topics**] を選択し、トピックを選択します。
1. **[編集]** を選択し、下にスクロールして **[アクセスポリシー]** にアクセスします。
1. リージョン、アカウント ID、およびトピック名の適切な値を使用して、[SNS topic policy](#sns-topic-policy) からステートメントを追加します。
1. トピックが暗号化されたトピックの場合は、`kms:GenerateDataKey*` および `kms:Decrypt` のアクセス許可を CloudTrail に付与する必要があります。詳細については、「[Encrypted SNS topic KMS key policy](#kms-key-policy)」を参照してください。
1. **[Save changes]** (変更の保存) をクリックします。
1. CloudTrail コンソールに戻り、証跡のトピックを指定します。
## SNS トピックポリシーのトラブルシューティング
以下のセクションでは、SNS トピックポリシーをトラブルシューティングする方法について説明します。
**Topics**
+ [CloudTrail がリージョンの通知を送信しない](#sns-topic-policy-for-multiple-regions)
+ [CloudTrail が組織内のメンバーアカウントに通知を送信しない](#sns-topic-policy-authorization-failure)
### CloudTrail がリージョンの通知を送信しない
証跡を作成または更新する操作の一部として新しいトピックを作成した場合、CloudTrail によって必要なアクセス許可がトピックにアタッチされます。トピックポリシーでは、`"cloudtrail.amazonaws.com"` というサービスプリンシパル名が使用され、これにより、CloudTrail がすべてのリージョンについて通知を送信できるようになります。
CloudTrail が特定のリージョンについて通知を送信していない場合は、そのトピックで、リージョンごとに CloudTrail アカウント ID を指定する古いポリシーが使用されている可能性があります。このタイプのポリシーでは、指定されたリージョンについてのみ通知を送信できる CloudTrail にアクセス許可が付与されます。
ベストプラクティスとして、CloudTrail サービスプリンシパルでアクセス権限を使用するようにポリシーを更新します。これを行うには、アカウント ID ARN をサービスプリンシパル名 `"cloudtrail.amazonaws.com"` に置き換えます。
次のポリシー例により、現在のリージョンと新しいリージョンについて通知を送信するためのアクセス許可が CloudTrail に付与されます。
**Example サービスプリンシパル名を使用したトピックポリシー**
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:123456789012:myTopic"
}]
}
```
ポリシーの値が正しいことを確認します。
+ [`Resource`] フィールドに、トピックの所有者のアカウント番号を指定します。自分で作成したトピックについては、自分のアカウント番号を指定します。
+ リージョンと SNS トピック名の適切な値を指定します。
### CloudTrail が組織内のメンバーアカウントに通知を送信しない
AWS Organizations 組織の証跡を持つメンバーアカウントが Amazon SNS 通知を送信しない場合、SNS トピックポリシーの設定に問題がある可能性があります。CloudTrail は、リソースの検証が失敗した場合でも、メンバーアカウントに組織の証跡を作成します。例えば、組織の証跡の SNS トピックには、すべてのメンバーアカウント ID は含まれていません。SNS トピックポリシーが正しくない場合、認証エラーが発生します。
証跡の SNS トピックポリシーに認証失敗があるかどうかを確認する方法
+ CloudTrail コンソールで、証跡の詳細ページを確認します。認証に失敗した場合、詳細ページには警告 `SNS authorization failed` が表示され、SNS トピックポリシーの修正を求めます。
+ から AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html) コマンドを実行します。認証に失敗した場合、コマンド出力には `AuthorizationError` の値を持つ `LastNotificationError` フィールドが含まれます。
## その他のリソース
Amazon SNS トピックおよびそのサブスクライブの詳細については、「[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/)」を参照してください。
# AWS CloudTrail ID とアクセスのトラブルシューティング
次の情報は、CloudTrail と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [CloudTrail でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [`iam:PassRole` を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに CloudTrail リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
+ [`iam:PassRole` を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [組織の証跡またはイベントデータストアを作成しようとすると `NoManagementAccountSLRExistsException` 例外が発生する](#security_iam_troubleshoot-no-slr)
## CloudTrail でアクションを実行する権限がない
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `cloudtrail:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetWidget on resource: my-example-widget
```
この場合、`cloudtrail:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
でアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。
次のエラー例は、`mateojackson` IAM ユーザーが証跡の詳細を表示するためにコンソールを使用しようとしたが、適切な CloudTrail マネージドポリシー (**AWSCloudTrail\$1FullAccess** もしくは **AWSCloudTrail\$1ReadOnlyAccess**)、または同等の許可がそのユーザーのアカウントに適用されていない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail
```
この場合、マテオは管理者に自分のポリシーを更新して、コンソール内の証跡情報とステータスにアクセスできるようにするよう依頼します。
**AWSCloudTrail\$1FullAccess** マネージドポリシーまたは同等のアクセス許可を持つ IAM ユーザーまたはロールでサインインし、証跡と AWS Config または Amazon CloudWatch Logs の統合を設定できない場合、それらのサービスとの統合に必要なアクセス許可がない可能性があります。詳細については、「[CloudTrail コンソールで AWS Config 情報を表示するアクセス許可の付与](security_iam_id-based-policy-examples.md#grant-aws-config-permissions-for-cloudtrail-users)」および「[CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)」を参照してください。
## `iam:PassRole` を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して CloudTrail にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例に示すエラーは、`marymajor` という名前の IAM ユーザーがコンソールを使用して CloudTrail でアクションを実行しようとした場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに CloudTrail リソース AWS アカウント へのアクセスを許可したい
ロールを作成し、複数の AWS アカウント間で CloudTrail 情報を共有できます。詳細については、「[AWS アカウント間の CloudTrail ログファイルの共有](cloudtrail-sharing-logs.md)」を参照してください。
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ CloudTrail でこれらの機能がサポートされるかどうかを確認するには、「[が IAM と AWS CloudTrail 連携する方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## `iam:PassRole` を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して CloudTrail にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例に示すエラーは、`marymajor` という名前の IAM ユーザーがコンソールを使用して CloudTrail でアクションを実行しようとした場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 組織の証跡またはイベントデータストアを作成しようとすると `NoManagementAccountSLRExistsException` 例外が発生する
`NoManagementAccountSLRExistsException` 例外は、サービスにリンクされたロールが管理アカウントにない場合に発生します。
CLI または API AWS Organizations オペレーションを使用して委任管理者を追加すると、サービスにリンクされたロールが存在しない場合、CloudTrail サービスにリンクされたロールは自動的に作成されません。サービスにリンクされたロールは、管理アカウントから CloudTrail サービスに直接呼び出しを行う場合にのみ作成されます。例えば、委任管理者を追加するか、CloudTrail コンソール、 AWS CLI または CloudTrail API を使用して組織の証跡またはイベントデータストアを作成すると、AWSServiceRoleForCloudTrail サービスにリンクされたロールが作成されます。
CLI または API AWS CloudTrailオペレーションを使用して委任管理者を追加すると、CloudTrail は AWSServiceRoleForCloudTrailとAWSServiceRoleForCloudTrailEventContextサービスにリンクされたロールの両方を作成します。
組織の管理アカウントを使用して委任管理者を追加したり、CloudTrail コンソールで組織の証跡またはイベントデータストアを作成したり、 AWS CLI または CloudTrail API を使用して作成したりすると、CloudTrail は管理アカウントのAWSServiceRoleForCloudTrailサービスにリンクされたロールがまだ存在しない場合、自動的に作成します。詳細については、「[CloudTrail サービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
委任管理者を追加していない場合は、CloudTrail コンソール AWS CLI または CloudTrail API を使用して委任管理者を追加します。委任管理者の追加の詳細については、「[CloudTrail の委任された管理者を追加する](cloudtrail-add-delegated-administrator.md)」と「[RegisterOrganizationDelegatedAdmin](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RegisterOrganizationDelegatedAdmin.html)」を参照してください。
委任管理者を既に追加している場合は、管理アカウントを使用してCloudTrail コンソールで、または または CloudTrail API を使用して組織の証跡 AWS CLI またはイベントデータストアを作成します。組織の証跡の作成の詳細については、「[コンソールで組織の証跡を作成する](creating-an-organizational-trail-in-the-console.md)」、「[を使用して組織の証跡を作成する AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md)」、「[CreateTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html)」(API) を参照してください。
# CloudTrail サービスにリンクされたロールの使用
AWS CloudTrail は AWS Identity and Access Management (IAM) [ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは CloudTrail によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
**Topics**
+ [CloudTrail で CloudTrail の組織の証跡および CloudTrail Lake の組織イベントデータストアを作成および管理するためのロールの使用](using-service-linked-roles-create-slr-for-org-trails.md)
+ [サービスにリンクされた CloudTrail ロールでサポートされるリージョン](#slr-regions-create-slr-for-org-trails)
+ [CloudTrail で CloudTrail イベントコンテキストを作成および管理するためのロールの使用](using-service-linked-roles-create-slr-for-context-management.md)
+ [サービスにリンクされた CloudTrail ロールでサポートされるリージョン](#slr-regions-create-slr-for-context-management)
# CloudTrail で CloudTrail の組織の証跡および CloudTrail Lake の組織イベントデータストアを作成および管理するためのロールの使用
AWS CloudTrail は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは CloudTrail によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、CloudTrail の設定が簡単になります。CloudTrail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、CloudTrail のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可を誤って削除することがなくなり、CloudTrail リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
## CloudTrail のサービスにリンクされたロールの許可
CloudTrail は、**AWSServiceRoleForCloudTrail** という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールは、組織の証跡と組織イベントデータストアをサポートするために使用されます。
サービスにリンクされた AWSServiceRoleForCloudTrail ロールは、以下のサービスを信頼してロールを引き受けます。
+ `cloudtrail.amazonaws.com`
CloudTrailServiceRolePolicy という名前のロールのアクセス許可ポリシーは、CloudTrail が指定されたリソースで以下のアクションを完了できるようにします。
+ すべての CloudTrail リソースに対するアクション:
+ `All`
+ すべての AWS Organizations リソースに対するアクション:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ 組織の委任された管理者を一覧表示するための、CloudTrail サービスプリンシパルのすべての Organizations リソースでのアクション:
+ `organizations:ListDelegatedAdministrators`
+ 組織のイベントデータストアで [Lake フェデレーションを無効にする](query-disable-federation.md)アクション:
+ `glue:DeleteTable`
+ `lakeformation:DeRegisterResource`
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
AWSServiceRoleForCloudTrail に関連付けられたマネージドポリシーの詳細については、「[AWS の 管理ポリシー AWS CloudTrail](security-iam-awsmanpol.md)」を参照してください。
## CloudTrail のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。組織の証跡または組織のイベントデータストアを作成するか、CloudTrail コンソール、、 AWS マネジメントコンソール AWS CLIまたは AWS API で委任管理者を追加すると、CloudTrail はサービスにリンクされたロールを作成します。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。組織の証跡または組織イベントデータストアを作成するか、CloudTrail コンソールで委任管理者を追加すると、サービスにリンクされたロールが CloudTrail によって再度ユーザーのために作成されます。
## CloudTrail のサービスにリンクされたロールの編集
CloudTrail では、サービスにリンクされた AWSServiceRoleForCloudTrail ロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## CloudTrail のサービスにリンクされたロールの削除
AWSServiceRoleForCloudTrail ロールを手動で削除する必要はありません。 AWS アカウント が Organizations 組織から削除されると、AWSServiceRoleForCloudTrailロールはその から自動的に削除されます AWS アカウント。組織の管理アカウントの AWSServiceRoleForCloudTrail サービスリンクロールからポリシーをデタッチまたは削除するには、組織からアカウントを削除する必要があります。
IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。
**注記**
リソースを削除する際に、CloudTrail サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForCloudTrail ロールで使用されているリソースを削除するには、以下のいずれかの処理を行うことができます。
+ Organizations の組織 AWS アカウント から を削除します。
+ 証跡を更新し、組織の証跡を停止させる必要があります。詳細については、「[CloudTrail コンソールで証跡を更新する](cloudtrail-update-a-trail-console.md)」を参照してください。
+ イベントデータストアを組織のイベントデータストアではなくなるように更新します。詳細については、「[コンソールでイベントデータストアを更新する](query-event-data-store-update.md)」を参照してください。
+ 証跡を削除します。詳細については、「[CloudTrail コンソールで証跡を削除する](cloudtrail-delete-trails-console.md)」を参照してください。
+ イベントデータストアを削除します。詳細については、「[コンソールでイベントデータストアを削除する](query-event-data-store-delete.md)」を参照してください。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForCloudTrailサービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## サービスにリンクされた CloudTrail ロールでサポートされるリージョン
CloudTrail は、CloudTrail と Organizations の両方 AWS リージョン が利用可能なすべての で、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS 全般のリファレンス」の「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# CloudTrail で CloudTrail イベントコンテキストを作成および管理するためのロールの使用
AWS CloudTrail は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは CloudTrail によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、CloudTrail の設定が簡単になります。CloudTrail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、CloudTrail のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可を誤って削除することがなくなり、CloudTrail リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
## CloudTrail のサービスにリンクされたロールの許可
CloudTrail は、**AWSServiceRoleForCloudTrailEventContext** という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールは、CloudTrail イベントコンテキストと EventBridge ルールを管理するために使用されます。
AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールは、以下のサービスがロールを引き受けることを信頼しています。
+ `context.cloudtrail.amazonaws.com`
CloudTrailEventContext という名前のロールのアクセス許可ポリシーは、CloudTrail が指定されたリソースで以下のアクションを完了できるようにします。
+ リソースに対するアクションタグ:
+ `tag:GetResources`
+ CloudTrail サービスプリンシパルがルールを作成するためのすべての Amazon EventBridge リソースに対するアクション:
+ `events:PutRule`
+ CloudTrail サービスプリンシパルが作成するルールを管理するための、すべての Amazon EventBridge リソースに対するアクション:
+ `events:PutTargets`
+ `events:DeleteRule`
+ `events:RemoveTargets`
+ `events:RemoveTargets`
+ CloudTrail サービスプリンシパルが作成するルールを記述するための、すべての Amazon EventBridge リソースに対するアクション:
+ `events:DescribeRule`
+ `events:DeRegisterResource`
+ すべての Amazon EventBridge リソースに対するアクション:
+ `events:ListRules`
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
AWSServiceRoleForCloudTrailEventContext に関連付けられたマネージドポリシーの詳細については、「[AWS の 管理ポリシー AWS CloudTrail](security-iam-awsmanpol.md)」を参照してください。
## CloudTrail のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API でコンテキストイベント機能の使用を開始すると、CloudTrail によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。コンテキストイベント機能の使用を開始すると、サービスにリンクされたロールが CloudTrail によってユーザーのために作成されます。
## CloudTrail のサービスにリンクされたロールの編集
CloudTrail では、AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## CloudTrail の AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールの削除
AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを必要とする機能やサービスが不要になった場合は、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、TagContext キーをイベントデータストアから削除することで、手動でサービスにリンクされたロールを削除する前に、そのロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除しようとする際に、CloudTrail サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
**AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールによって使用されている CloudTrail リソースを削除するには**
1. ターミナルまたはコマンドラインで、`TagContext` キーを削除するイベントストアの **put-event-configuration** コマンドを実行します。例えば、ARN が *arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111* であり、`TagContext` が唯一のコンテキストキーセレクタである米国東部 (オハイオ) リージョンの *111122223333* アカウントのイベントストアから `TagContext` キーを削除するには、`--context-key-selectors` の値が指定されていない **put-event-configuration** コマンドを使用します。
```
aws cloudtrail put-event-configuration --event-data-store arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 --max-event-size Large --context-key-selectors
```
1. パーティション内のすべてのリージョンのすべてのデータストアに対して、このコマンドを繰り返します。詳細については、[「Amazon AWS リソースネーム (ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)」を参照してください。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## サービスにリンクされた CloudTrail ロールでサポートされるリージョン
CloudTrail は、CloudTrail および EventBridge が利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# AWS の 管理ポリシー AWS CloudTrail
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。管理 AWS ポリシーを使用すると、すぐに開始できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS 管理ポリシー: `AWSCloudTrail_FullAccess`
ロールにアタッチされた [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) ポリシーを持つユーザー ID は、CloudTrail で完全な管理アクセス権を持ちます。
ポリシーの詳細の JSON 一覧については、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)」を参照してください。
## AWS 管理ポリシー: `AWSCloudTrail_ReadOnlyAccess`
[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) ポリシーがロールに関連付けられているユーザー ID は、CloudTrail で読み取り専用アクション (証跡、 CloudTrail Lake イベントデータストア、Lake クエリに対する `Get*`、`List*`、`Describe*` アクションなど) を実行できます。
ポリシーの詳細の JSON 一覧については、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)」を参照してください。
## AWS 管理ポリシー: `AWSServiceRoleForCloudTrail`
この[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)ポリシーにより AWS CloudTrail 、 はユーザーに代わって組織の証跡と組織のイベントデータストアに対してアクションを実行できます。このポリシーには、組織アカウントと AWS Organizations 組織内の委任管理者を記述および一覧表示するために必要な AWS Organizations アクセス許可が含まれています。
このポリシーには、組織のイベントデータストアで [Lake フェデレーションを無効にする](query-disable-federation.md)ために必要な AWS Glue および アクセス AWS Lake Formation 許可も含まれています。
このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、**AWSServiceRoleForCloudTrail** のサービスリンクロールにアタッチされています。ユーザー、グループおよびロールにこのポリシーはアタッチできません。
ポリシーの詳細の JSON 一覧については、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)」を参照してください。
## AWS 管理ポリシー: `CloudTrailEventContext`
この[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)ポリシーにより、 AWS CloudTrail はユーザーに代わって CloudTrail イベントコンテキストと EventBridge ルールを管理できます。このポリシーには、ユーザーのために作成するルールを作成、管理、および記述するために必要な EventBridge アクセス許可が含まれています。
このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、**AWSServiceRoleForCloudTrailEventContext** のサービスリンクロールにアタッチされています。ユーザー、グループおよびロールにこのポリシーはアタッチできません。
ポリシーの詳細の JSON 一覧については、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)」を参照してください。
## AWS マネージドポリシーに対する CloudTrail の更新
CloudTrail の AWS 管理ポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、CloudTrail の「[ドキュメント履歴](cloudtrail-document-history.md)」ページで RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [`CloudTrailEventContext`](using-service-linked-roles-create-slr-for-context-management.md) – `AWSServiceRoleForCloudTrailEventContext` サービスにリンクされたロールによって使用される新しいポリシー | CloudTrail 強化イベント機能に使用される新しいポリシーとロールを追加しました。 | 2025 年 5 月 19 日 |
| [`CloudTrailServiceRolePolicy`](#security-iam-awsmanpol-CloudTrailServiceRolePolicy) – 既存ポリシーへの更新 | フェデレーションが無効になっている場合でも、組織のイベントデータストアで以下のアクションを実行できるように、ポリシーを更新しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/security-iam-awsmanpol.html) | 2023 年 11 月 26 日 |
| [`AWSCloudTrail_ReadOnlyAccess`](#security-iam-awsmanpol-AWSCloudTrail-ReadOnlyAccess) – 既存ポリシーへの更新 | CloudTrail は、`AWSCloudTrailReadOnlyAccess` ポリシーの名前を `AWSCloudTrail_ReadOnlyAccess` に変更しました。また、ポリシーの許可のスコープは CloudTrail アクションに縮小されました。Amazon S3、 AWS KMS、または AWS Lambda アクションのアクセス許可が含まれなくなりました。 | 2022 年 6 月 6 日 |
| CloudTrail が変更の追跡を開始しました | CloudTrail は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2022 年 6 月 6 日 |