AWS Control Tower でのログ記録について

AWS Control Tower は、AWS CloudTrail と AWS Config との統合によりアクションとイベントの自動的なログ記録を確立し、CloudWatch で記録されます。AWS Control Tower の管理アカウントや組織のメンバーアカウントのアクションなど、すべてのアクションがログに記録されます。管理アカウントのアクションとイベントは、コンソールの [Activities] (アクティビティ) ページに表示されます。メンバーアカウントのアクションとイベントは、ログアーカイブファイルで表示できます。

組織レベルの証跡

ランディングゾーンをセットアップすると、AWS Control Tower が新しい CloudTrail 証跡をセットアップします。これは組織レベルの証跡で、組織内の管理アカウントとすべてのメンバーアカウントの全イベントがログされます。この機能は、各メンバーアカウントで証跡を作成する管理アカウントアクセス許可を付与するのに信頼されたアクセスに依存します。

AWS Control Tower および CloudTrail 組織証跡についての詳細は、組織の証跡の作成を参照してください。

注記

ランディングゾーンバージョン 3.0 より前の AWS Control Tower リリースでは、AWS Control Tower で各アカウントのメンバーアカウントの証跡が作成されていました。リリース 3.0 に更新すると、CloudTrail 証跡が組織証跡になります。証跡を移行する際のベストプラクティスについては、「CloudTrail ユーザーガイド」の「Best practices for changing trails」を参照してください。

AWS Control Tower にアカウントを登録すると、そのアカウントは AWS Control Tower 組織の AWS CloudTrail 追跡によって管理されます。アカウントに CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。

注記

ランディングゾーンバージョン 3.0 に更新すると、AWS Control Tower は登録済みアカウントの (AWS Control Tower が作成した) アカウントレベルの証跡をユーザーに代わって削除します。既存のアカウントレベルのログファイルは、Amazon S3 バケットに保存されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ログ記録とモニタリング

S3 バケットポリシー