AWS Organizations の[組織の証跡]について整理する

「組織の証跡」とは

組織内のマスターアカウントとすべてのメンバーアカウントの CloudTrail イベントを同じ

  • Amazon S3 バケット
  • CloudWatch Logs
  • CloudWatch イベント

に配信できるようにする設定である。

組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立つ。

組織の証跡を作成すると、自分の組織に属するすべての AWS アカウントに、指定した名前の証跡が作成される。

メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、

  • AWS アカウントから AWSCloudTrail コンソールにログインしたとき
  • describe-trails などの AWS CLI コマンドを実行したとき

この証跡 (証跡 ARN を含む) を表示することができる。

各AWSアカウントでアクティビティが発生すると、そのアクティビティはCloudTrailイベントに記録される。

イベント履歴に移動すると、CloudTrailコンソールで最近のイベントを簡単に表示できる。

マルチリージョンおよびグローバルイベントの追跡を有効にすることもできる。

デフォルトでは、CloudTrailによってバケットに配信されるログファイルは、

Amazon S3管理の暗号化キー(SSE-S3)を使用したAmazonサーバー側の暗号化によって暗号化される。

直接管理可能なセキュリティレイヤーを提供するために、

CloudTrailログファイルにAWS KMS管理キー(SSE-KMS)を使用したサーバーサイド暗号化を使用できる。

ログを保護するには、S3バケットを暗号化し、バケット作成時にデータ削除不可の設定を行うことで、永続的にログを保存することが可能。

マスターアカウントに対して単一のCloudTrailを有効化して、ターゲットアカウント設定において他の子アカウントをターゲット設定・・・と言うことは必要ない。

AWS Organizationsを利用して、CloudTrailの「組織の証跡」を利用することで子アカウントにも自動的にCloudTrailログを設定することが可能になるからだ。