Accelerate を CloudTrail 証跡と統合するように CloudTrail 証跡リソースを設定する

設定を確認して更新し、AMS Accelerate が CloudTrail 証跡を使用できるようにします。

AMS Accelerate は、アカウント内のすべてのリソースの監査とコンプライアンスを管理するために AWS CloudTrail ログ記録に依存しています。オンボーディング中に、 Accelerate がプライマリ AWS リージョンに CloudTrail 証跡をデプロイするか、既存の CloudTrail アカウントまたは Organization 証跡によって生成されたイベントを使用するかを選択します。アカウントに証跡が設定されていない場合、 Accelerate はオンボーディング中にマネージド CloudTrail 証跡をデプロイします。

重要

CloudTrail ログ管理設定は、AMS Accelerate を CloudTrail アカウントまたは Organization 証跡と統合する場合にのみ必要です。

Cloud Architect (CA) を使用して、CloudTrail イベント配信先の CloudTrail 証跡設定、Amazon S3 バケットポリシー、および AWS KMS キーポリシーを確認します。 Amazon S3

Accelerate が CloudTrail 証跡を使用する前に、Cloud Architect (CA) と協力して Accelerate の要件を満たすように設定を確認して更新する必要があります。Accelerate を CloudTrail Organization 証跡と統合することを選択した場合、CA はお客様と協力して CloudTrail イベント配信先の Amazon S3 バケットと AWS KMS キーポリシーを更新し、Accelerate アカウントからのクロスアカウントクエリを有効にします。Amazon S3 バケットは、 Accelerate が管理するアカウント、またはユーザーが管理するアカウントにあることができます。オンボーディング中、 Accelerate は CloudTrail Organization 証跡イベントの配信先に対してクエリを実行できることを検証し、クエリが失敗するとオンボーディングを一時停止します。CA と協力してこれらの設定を修正し、オンボーディングを再開できるようにします。

CloudTrail アカウントまたは組織の証跡設定を確認して更新する

CloudTrail アカウントまたは Organization 証跡リソースの Accelerate CloudTrail ログ管理を統合するには、次の設定が必要です。

CloudTrail 証跡は、すべてのからのイベントをログに記録するように設定されています AWS リージョン。
CloudTrail 証跡では、グローバルサービスイベントが有効になっています。
CloudTrail アカウントまたは Organization 証跡は、読み取りおよび書き込みイベントを含むすべての管理イベントをログに記録し、 AWS KMS Amazon RDS Data API イベントログ記録が有効になっています。 https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt
CloudTrail 証跡では、ログファイルの整合性検証が有効になっています。
CloudTrail 証跡の Amazon S3 バケットは、SSE-S3 または SSE-KMS 暗号化を使用してイベントを暗号化するためにイベントを配信します。
CloudTrail 証跡がイベントを配信する Amazon S3 バケットでは、サーバーアクセスのログ記録が有効になっています。
CloudTrail 証跡がイベントを配信する Amazon S3 バケットには、CloudTrail 証跡データを少なくとも 18 か月間保持するライフサイクル設定があります。
CloudTrail 証跡がイベントを配信する Amazon S3 バケットには、オブジェクト所有権がバケット所有者に設定されています。
CloudTrail 証跡がイベントを配信する Amazon S3 バケットは、 Accelerate からアクセスできます。

CloudTrail イベント配信先の Amazon S3 バケットポリシーを確認して更新する

オンボーディング中、Cloud Architect (CA) と協力してAmazon S3 バケットポリシーステートメントを CloudTrail イベント配信先に追加します。ユーザーが Accelerate アカウントから CloudTrail イベント配信先 Amazon S3 バケットの変更をクエリできるようにするには、Accelerate が管理する Organization の各アカウントに統一された名前の IAM ロールをデプロイし、すべての Amazon S3 バケットポリシーステートメントaws:PrincipalArnのリストに追加します。この設定では、ユーザーは Athena を使用して Accelerate でアカウントの CloudTrail Organization 証跡イベントをクエリおよび分析できます。Amazon S3 バケットポリシーを更新する方法の詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3コンソールを使用したバケットポリシーの追加」を参照してください。

重要

Amazon S3 バケットポリシーの更新は、Accelerate が一元化された S3 バケットにイベントを配信する CloudTrail 証跡と統合されている場合にのみ必要です。Accelerate は、一元化されたバケットにを配信する CloudTrail 証跡との統合をサポートしていませんが、 AWS 組織の下にアカウントはありません。

注記

Amazon S3 バケットポリシーを更新する前に、赤いフィールドを該当する値に置き換えます。

amzn-s3-demo-bucket アカウントからの証跡イベントを含む Amazon S3 バケットの名前。
your-organization-id と、アカウントがメンバーである AWS 組織の ID。
your-optional-s3-log-delievery-prefix と CloudTrail 証跡の Amazon S3 バケット配信プレフィックス。例えば、CloudTrail 証跡の作成時に設定した my-bucket-prefixなどです。 CloudTrail

証跡に Amazon S3 バケット配信プレフィックスを設定していない場合は、次の Amazon S3 バケットポリシーステートメントから「your-optional-s3-log-delievery-prefix」とスラッシュ (/) を削除します。

次の 3 つの Amazon S3 バケットポリシーステートメントは、 Accelerate アカウントからイベント配信先 Amazon S3 バケット内の CloudTrail イベントを分析するためのの設定を取得して AWS Athena クエリを実行するアクセスを Accelerate に付与します。


{
    "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetEncryptionConfiguration"
    ],
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringLike": {
            "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}

CloudTrail イベント配信先の AWS KMS キーポリシーを確認して更新する

オンボーディング中、Cloud Architect (CA) と協力して、Amazon S3 バケットに配信される CloudTrail 証跡イベントの暗号化に使用される AWS KMS キーポリシーを更新します。参照 AWS KMS キーポリシーステートメントを既存の AWS KMS キーに追加してください。これにより、 Accelerate が既存の CloudTrail 証跡イベント配信先 Amazon S3 バケットと統合され、イベントが復号化されるように設定されます。ユーザーが Accelerate アカウントから CloudTrail イベント配信先 Amazon S3 バケットの変更をクエリできるようにするには、Accelerate が管理している Organization の各アカウントに統一された名前の IAM ロールをデプロイし、それを「aws:PrincipalArn」リストに追加します。この設定では、ユーザーはイベントをクエリできます。

考慮すべき AWS KMS キーポリシーの更新シナリオはさまざまです。すべてのイベントを暗号化するために CloudTrail 証跡に設定された AWS KMS キーのみがあり、Amazon S3 バケット内のオブジェクトを暗号化する AWS KMS キーがない場合があります。または、CloudTrail によって配信されるイベントを暗号化する AWS KMS キーと、Amazon S3 バケットに保存されているすべてのオブジェクトを暗号化する AWS KMS 別のキーがある場合があります。 AWS KMS キーが 2 つある場合は、各 AWS KMS キーのキーポリシーを更新して、Accelerate に CloudTrail イベントへのアクセスを許可します。ポリシーを更新する前に、参照 AWS KMS キーポリシーステートメントを既存の AWS KMS キーポリシーに修正してください。 AWS KMS キーポリシーを更新する方法の詳細については、「 AWS Key Management Service ユーザーガイド」の「キーポリシーの変更」を参照してください。

重要

Accelerate がログファイル SSE-KMS 暗号化が有効になっている CloudTrail 証跡と統合されている場合にのみ、 AWS KMS キーポリシーを更新する必要があります。

注記

この AWS KMS キーポリシーステートメントを Amazon S3 バケットに配信される AWS CloudTrail イベントの暗号化に使用される AWS KMS キーに適用する前に、次の赤いフィールドを該当する値に置き換えます。

アカウントがメンバーである AWS 組織の ID を持つ YOUR-ORGANIZATION-ID。

この AWS KMS キーポリシーステートメントは、Accelerate が CloudTrail イベントのクエリと分析に使用する Athena に制限されたアクセスを持つ、組織内の各アカウントから Amazon S3 バケットに配信される証跡イベントの復号化とクエリへのアクセスを高速化します。 CloudTrail


{
    "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ステップ 2. 管理リソースのオンボーディング

ロール作成テンプレート