AWSでマルチアカウント環境を実装してみた（③CloudTrail編）

はじめに

前回記載した概要編、Organizations編の続きとなります。今回はCloudTrailを有効化して、セキュリティアカウントにログを収集するところまでを書きます。
※前回記事はこちらを参照ください

全体構成

概要図はこんな感じです。Organizations内に複数のアカウントがありますが、これらメンバーアカウントで生成されたCloudTrailnoログを、セキュリティアカウント内のS3バケットに集約して保存する形になります。

対応手順

以下、対応手順を記載します。Organizationsコンソールは現時点では画面デザインが新しいものと古いものの両方を使えますが、今回は新しい方を使っていきます。

ログ集約用のS3バケット作成

メンバーアカウント（セキュリティアカウント）での操作となります。まずは今回必要になるS3バケットを作成します。コンソールからポチポチするだけなので詳細は割愛しますが、バケットポリシーは以下の通り設定ください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::バケット名"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::バケット名/AWSLogs/管理アカウントID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::バケット名/AWSLogs/組織ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

上記ポリシー内の置き換え文字は以下の通りです。

• バケット名：今回作成するバケットの名前
• 管理アカウントID：Organizatinsの管理アカウントのIDを指定。例）123456789
• 組織ID：Orgenizationsを有効化した際に割り当てられるID。Organizationコンソールから確認可能。

管理アカウントでのCloudTrail有効化

ここから先は管理アカウントで操作を行います。上に記載した通り、Organizaitonsでは新旧デザインのコンソール画面が使えます。旧コンソールの場合、CloudTrailの有効化はOraganizations画面から行えましたが、新コンソールで同じ操作を行おうとすると以下の警告メッセージが表示されます。少なくとも2021年3月現在はCloudTrailコンソールから設定を行うことが推奨されているようなので、今回の手順でもこれに従います。

というわけで管理アカウントでCloudTrailのコンソールを開きます。画面内の「証跡の作成」をクリックします。

必要な情報を入力して「次へ」をクリックします。「組織内の全てのアカウントについて有効化」がポイントです。必ずチェックしましょう。
ストレージの場所は「既存のS3バケットを使用する」を選び、先ほど作成したS3バケット名を指定します。SSE-KMSの有効化は任意ですが、セキュリティが向上するのでONにしておいた方がいいと思います。

次の画面はデフォルトのまま、管理イベントのみ取得するようにしました。このあたりは運用の要件に応じて随時見直してください。設定したら「次へ」をクリックします。

続いて確認画面が表示されるので、「証跡の作成」ボタンをクリックします。無事作成されると以下の画面が表示されます。

Organizations側の設定も確認してみます。左メニューから「サービス」を開くと、CloudTrailの「信頼されたアクセス」が有効になっているのが分かります。
このように、新しコンソールでは各サービス側でOrganizationsのサービスを有効化する手順に変更になっているようです。

メンバーアカウント（セキュリティアカウント）のS3バケットも確認してみます。下記の通り、正しくログ出力が行われることが確認できました。
※メンバアカウントにスイッチして確認してください

最後に

今回はCloudTrailの有効化方法を説明しました。バケットはメンバーアカウントのものを使用していますが、CloudWatchなどでイベント処理を行う場合は、管理アカウント側で設定を行う必要がありますのでご注意ください。
AWS ConfigやGuardDutyはメンバーへの委任機能があるので、CloudTrailでも同様なことができるようアップデートに期待しています。

今回の記事が誰かのお役に立てると幸いです。