目次
AWS_CloudTrailとは
AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を行うためのサービスです。
CloudTrail を使用すると、AWS インフラストラクチャ全体でアカウントアクティビティをログに記録し、継続的に監視し、保持できます。
ガバナンス、コンプライアンス、およびリスク監査のために利用されるサービスです。
AWSリソース設定ではなくユーザーアクティビティの監視に利用されるサービスです。
特徴
- AWS CloudTrail は、AWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を行うためのサービス
- AWSユーザの操作(APIコール、ユーザのサインインアクティビティ)をロギングするサービス
- CloudTrailはアクティビティログを取得するサービスであり、アクティビティに関する監視に利用できます。
- ルートアカウント、IAMユーザのオペレーションとAPIコールをトラッキングしてログを取得するサービス
- CloudTrail は、CloudFront コンソール、CloudFront API、AWS SDK、CloudFront CLI やその他のサービス (AWS CloudFormation など) の使用時に発生したすべてのリクエストに関する情報をキャプチャします。
- S3ストレージクラスの分析はできない
- デフォルトでCloudTrailのログファイルは、Amazon S3サーバーサイド暗号化(SSE)を使用して暗号化される
ちなみに、外部アクセスを許可している際に不正な利用が発生しないかを検証するためのツールは IAM Access Analyzer(IAMアクセスアナライザー)です。
具体的に何ができる?
誰がどのアクションを実行したかを調べることができる。
例えば、EC2インスタンスが終了するトラブルが発生した場合、誰がこのアクションを実行したかを調べるときなど。
NW構成図
AWS CloudTrailのイメージ図を下記に示します。
Udemy「これだけでOK! AWS 認定ソリューションアーキテクト – アソシエイト試験突破講座(SAA-C02試験対応版)」より引用
ログについて
保存期間
デフォルトで90日間保存される
保存場所
暗号化されてS3に保存される
どうやってログ見るのか?
S3に保存されたログをCloudWatch上で解析できる
ログはどのような内容か?
CloudTrailのダッシュボードとS3を見る
暗号化について
- KMSによる暗号化もサポートする。
- 暗号化はデフォルトでされる。何もしなくても暗号化されている。
料金
無料
ダッシュボードはどんな感じの画面か?
ダッシュボードを見て、操作感のイメージを掴みましょう。
CloudTrailの利用方法(作業手順)
CloudTrailのログファイルの保存先となるS3バケットを設定する
※S3の利用料金は一定量は無料。無料枠を超過すると有料となります。
システム監査に役立つAWSソリューション
AWS InspectorでAWSにデプロイしたアプリの評価をするには?
