developersIO
Organization 管理下メンバーアカウントの SSM セッションログをセキュリティアカウントの CloudWatch Logs に直接送信することはできますか

Organization 管理下メンバーアカウントの SSM セッションログをセキュリティアカウントの CloudWatch Logs に直接送信することはできますか

AWSテクニカルサポートノート
AWSAWS Systems Manager Session ManagerCloudWatch LogsAmazon S3AWS Organizations
2025.02.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていること

Organizations 管理下のメンバーアカウントの SSM セッションログをセキュリティアカウント(管理アカウントなど)の CloudWatch Logs で中央管理したいと考えています。方法があれば教えてください。

どう対応すればいいの?

現時点、Organization 管理下のアカウントの SSM セッションログをセキュリティアカウントの CloudWatch Logs に直接送信することは叶いません。CloudWatch Logs へのログ出力については他アカウントで保有するロググループを指定することができないためです。

代替案

CloudWatch Logs ではなく、S3 ログ記録であれば事前の設定により他アカウントのバケットにログを記録することが可能です。また、送信先セキュリティアカウント側 S3バケットで KMS による暗号化も可能なので、こちらの方法をご検討ください。

https://repost.aws/ja/knowledge-center/ssm-s3-bucket-logging-multiple-accounts

参考資料

そのマルチアカウント運用、気合いで支えていませんか

Organizations や Control Tower で土台は作れても、アカウントもポリシーも増えるほど、運用は「詳しい一人」に寄りかかっていく。属人化が限界を迎える前に、組織として回す仕組み=CCoEへ。5,600社の支援から得た立ち上げの型を、無料資料にまとめました。

CCoE総合支援

組織で回す仕組みの資料をもらう

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

ちょっと話題の記事
[アップデート] Amazon CloudWatchでログの一元管理機能が提供されました!
tmorio (まると)
2025.09.25
Security Hub コントロール [SSM.6] Systems Manager Automation のログをCloudWatch Logsに出力する設定をAWS CDKカスタムリソースで実装してみた
小林翔馬
2025.07.25
ECSクラスターのECS Execのログ設定で暗号化を有効化するオプションの効力を確認してみた
のんピ
2026.01.20
AWS Security Agent のペネトレーションテスト実行ログを CloudWatch Logs で確認してみた
いわさ
2026.05.23