AWS CloudTrail証跡は2つ目から課金されます
2025.09.08AWS CloudTrailは証跡を記録するセキュリティサービスです。
無料で始められ、証跡というサービス特性から、AWSアカウント開設後に有効化すべきサービスの一つです。ただし、CloudTrailは一つだけ気をつけるべきことがあります。
それは、 2つ目以降の証跡が課金されることです。
AWSの請求書でAWS CloudTrailサービスの利用費が発生していたら、意図した設計か、CloudTrailの設定を見直しましょう。
AWS CloudTrail とは?
AWS CloudTrail(以下CloudTrail)はサービスページで解説されているように、「AWS アカウントのガバナンス、コンプライアンス、運用監査、監査を行うためのサービス」です。
CloudTrailには証跡を取得するTrail、異常なアクティビティを検知するInsights、イベントをSQLで問い合わせるLakeなど様々なサービスが存在します。
話を単純化するため、本記事ではTrailの 管理イベント (コントロールプレーン操作) のみを対象とします。
CloudTrail で課金が発生するケース
CloudTrailは発生したイベントをS3に永続化します。
CloudTrailの料金ページを確認してみましょう。
まずは「AWS 無料利用枠」です。
追跡を作成することで、進行中の管理イベントのコピーを 1 つ無料で Amazon Simple Storage Service (S3) バケットに配信できます。
次に「有料利用枠」です。
証跡を使用して、イベント (データやネットワークアクティビティイベントを含む) の追加コピーを配信できます。
.
注: 管理アカウントに管理イベントを配信する組織証跡がある場合、メンバーアカウントで作成された証跡を使用して配信された同じイベントは、追加のコピーとして課金されます。
この利用枠の料金体系から読み取れることは、イベントの1つ目のコピーは無料だけれども、追加のコピーは課金されることです。
特に「有料利用枠」の注釈で具体的なケースが書かれていますが、 イベントと証跡が1:1であれば無料ですみますが、1:多の場合、2つ目以降の証跡は課金が発生します。
課金単価は以下の通りです。
| 特徴 | 料金 |
|---|---|
| Amazon S3 に配信された管理イベント | 配信される管理イベント 100,000 あたり 2.00 USD (初回無料コピー後、 詳細は AWS 無料利用枠を参照) |
AWS CloudTrailのドキュメントにあるイベントの「初回コピー」と「追加のコピー」のニュアンスの違いが伝わったでしょうか?
別の言い方をすると、管理イベントは証跡にファンアウトされ、1つ目の証跡(初回コピー)に対しては 無料 、2つ目以降の証跡(追加のコピー)に対しては 有償 となります。
S3 操作の利用費
上記とは別に、S3バケットへのオブジェクト保存操作(PutObject)やS3の保存(TimedStorage-ByteHrs)などでも課金が発生します。
S3の利用費はCloudTrailの2つ目のイベントコピーの利用費に比べると軽微なため、詳細は割愛します。
利用明細での見え方
利用明細の Usage Type では、以下のようにイベントの記録が 無償(Free) でおこなわれたのか 有償(Paid) でおこなわれたのか簡単に判断がつきます
- <リージョン>-PaidEventsRecorded
- <リージョン>-FreeEventsRecorded
東京リージョンでの具体例は以下の通りです。
| Usage Type | Description |
|---|---|
| APN1-PaidEventsRecorded | 0.00002 per paid event recorded in Asia Pacific (Tokyo) region |
CloudTrailの課金発生のチェック方法
AWSコンソールのBillingページや請求書からAWS CloudTrailサービスの課金状況をチェックしましょう。
利用費の推移を確認するには、Cost Explorerを使うとよいでしょう。
CloudTrailの構成別の課金状況
CloudTrailのよくある構成例に対して、課金が発生するか、確認します。
課金が発生しない構成:アカウント証跡だけの場合
アカウントに閉じた証跡が一つだけ存在する場合、 利用費は発生しません。
課金が発生しない構成:組織証跡だけの場合
AWS OrganizationやAWS Control Towerを活用し、組織レベルで単一の証跡を有効化している場合、 利用費は発生しません。
課金が発生する構成:組織とメンバーアカウントの証跡が共存
次に証跡が複数存在して課金が発生するケースです。
CloudTrailの料金ページの注釈にあるように、AWS Organizationによる組織証跡とは別にメンバーアカウント固有の証跡が存在する場合、このAWSアカウントには 証跡が2つ存在 することになります。そのため、イベントの2つ目のコピー(=イベントの2つ目の証跡への通知)に対して PaidEventsRecorded として 課金が発生します。
アカウントに複数の証跡が共存する状況が想定通りであれば問題ありません。
意図せず複数の証跡が有効となる代表的なケースとして以下があります。
- 組織に組織証跡を有効化し、既存のアカウントレベルの証跡を無効化し忘れた場合
- 既存のアカウントを組織証跡を有効にした組織に転入し、既存のアカウントレベルの証跡を無効化し忘れた場合
AWS Organization/AWS Control Towerの運用手順を確認しましょう。
CloudTrail設定の見直し
CloudTrailの多重証跡により利用費が発生していた場合、以下の流れで作業するとよいでしょう。
- 組織・アカウントの証跡と有効状況の列挙
- 現在の設定状況となった背景の調査
- 設定の見直し
2つ目のステップを調査する上で、「いつから課金が発生しているのか」は非常に重要な情報となります。
証跡を止めた場合の影響
課金の発生元となる不要な証跡が見つかった場合、証跡を無効化しましょう。追加のイベントコピーが行われなくなり、CloudTrailの課金が止まります。
注意点として、S3バケットに保存済みの証跡イベントログは削除されません。
イベントのS3のストレージ費用はAWS全体の費用に比べると軽微なことが多いです。その上で、不要データとしてS3から削除する、S3のライフサイクル設定に任せて放置するなど、ご判断ください。
まとめ
CloudTrailの1つ目の証跡は無料という大きなメリットがありますが、2つ目から課金が発生します。
特にAWS Organizationを運用している場合、意図しない証跡の重複が発生しやすいため注意が必要です。
このようにして発生した証跡の重複課金は、AWSアカウント単位でみると利用費全体の数パーセントに収まることが多く、見逃してしまいがちですが、組織全体あるいは年単位などで合算すると、まとまった金額となります。
AWS CloudTrail に限らず、定期的にAWSサービスの利用状況を俯瞰することをお勧めします。
AWS CloudTrailは以下の流れでチェックしましょう。
- AWS CloudTrailの利用費が発生しているか確認
- AWS CloudTrailの明細で
PaidEventsRecordedを確認 - AWS CloudTrailの証跡一覧を確認
- 不要な証跡を無効化
