コンテンツにスキップ

AWS環境の初期セットアップ

参考情報/注釈

OrganizationsでのCloudTrail証跡一括取得＋ログアカウントでのKMS CMK暗号化実装手順#

参考資料：組織の証跡の作成#

https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/creating-trail-organization.html

注釈#

作成した証跡はメンバーアカウントでは削除できません
管理アカウントで証跡を削除するとメンバーアカウントの証跡も削除されます
証跡作成時に、S3バケットポリシーの権限が不足している場合でも管理コンソール上では「KMSの権限不足」と表示される

作成に成功してしばらく経つと、各メンバーアカウントに同じ設定のCloudTrail設定が作成されます。今回の例の場合、指定したS3バケットには以下のような構成でCloudTrailのログが出力されます。

traillog-bucket-333333333333
└ AWSLogs
　 ├ 111111111111
　 │ ├ CloudTrail-Digest
　 │ └ CloudTrail
　 └ o-yyyyyyyyyy
　 　 ├ 111111111111
　 　 │ ├ CloudTrail-Digest
　 　 │ └ CloudTrail
　 　 ├ 222222222222
　 　 │ ├ CloudTrail-Digest
　 　 │ └ CloudTrail
　 　 └ 333333333333
　 　 　 ├ CloudTrail-Digest
　 　 　 └ CloudTrail