[Organizations]組織レベルでCloudTrailを有効化する

コンニチハ、千葉です。

Organizationsを利用すると、複数のAWSアカウントを一元的に管理できます。今回は、OrganizationsレベルでCloudTrail有効化し、複数のAWSアカウントの監査ログを一括で収集してみようと思います。

やってみた

まずはOrganizationsのマスターアカウントでAWSへログインし、Organizationsへ移動します。設定から、CloudTrailを有効化します。

次にCloudTrailへ移動し、認証情報 > 認証の作成からCloudTrailの設定をします。

通常のAWSアカウントだと表示されない、Organizations専用の設定項目が確認できます。 組織に証跡を適用 を有効化し設定しましょう。

小アカウントにログインしてみたところ、CloudTrailが小アカウントにも設定されていることが確認できました。

S3バケットがどのようになっているかも確認します。AWSアカウントIDのフォルダが作成され、それぞれアカウントごとにログが出力されるようになっていました。

小アカウントにはAWSServiceRoleForCloudTrailロールが作成されていました。こちらは、CloudTrail設定用のサービスリンクロールです。自動で作成され、設定時にOrganizationsで利用されます。

最後に

Organizationを利用することで、複数のAWSアカウントに対するCloudTrailを有効にできました。かなり簡単で、便利でした！

参考

• https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/creating-trail-organization.html