翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower でのログ記録について
AWS Control Tower は、 および との統合を通じてアクションAWS CloudTrailとイベントのログ記録を自動的に実行しAWS Config、CloudWatch に記録します。AWS Control Tower の管理アカウントや組織のメンバーアカウントのアクションなど、すべてのアクションがログに記録されます。管理アカウントのアクションとイベントは、コンソールの [Activities] (アクティビティ) ページに表示されます。メンバーアカウントのアクションとイベントは、ログアーカイブファイルで表示できます。
組織レベルの証跡
ランディングゾーンをセットアップすると、AWS Control Tower が新しい CloudTrail 証跡をセットアップします。これは組織レベルの証跡で、組織内の管理アカウントとすべてのメンバーアカウントの全イベントがログされます。この機能は、各メンバーアカウントで証跡を作成する管理アカウントアクセス許可を付与するのに信頼されたアクセスに依存します。
AWS Control Tower および CloudTrail 組織証跡についての詳細は、組織の証跡の作成を参照してください。
注記
ランディングゾーンバージョン 3.0 より前の AWS Control Tower リリースでは、AWS Control Tower で各アカウントのメンバーアカウントの証跡が作成されていました。リリース 3.0 に更新すると、CloudTrail 証跡が組織証跡になります。証跡を移行する際のベストプラクティスについては、「CloudTrail ユーザーガイド」の「証跡の変更のベストプラクティス」を参照してください。
AWS Control Tower にアカウントを登録すると、アカウントは AWS Control Tower 組織のAWS CloudTrail証跡によって管理されます。アカウントに CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。
注記
ランディングゾーンバージョン 3.0 に更新すると、AWS Control Tower は登録済みアカウントの (AWS Control Tower が作成した) アカウントレベルの証跡をユーザーに代わって削除します。既存のアカウントレベルのログファイルは、Amazon S3 バケットに保存されます。
