CloudTrail の FAQ には、セキュリティについて次のように書かれています。 Q: CloudTrail ログファイルを保護するにはどうすればよいですか? デフォルトでは、CloudTrail ログファイルは S3 Server Side Encryption(SSE)を使用して暗号化され、S3 バケットに保存されます。 IAM または S3 バケットのポリシーを使用してログファイルへのアクセスを制御できます。さらにセキュリティを追加するには、S3 バケットで S3 Multi Factor Authentication(MFA)Delete を有効にします。 最小権限の原則に従ってバケットポリシーを設定するのはもちろんのことですが、改ざんやうっかりミスによる削除から CloudTrail ログを保護するために S3 MFA Delete を設定したいと思います。 S3 MFA