AWSアカウント作成直後にCloudTrailの設定をします。 IAMを利用開始する前に設定しておくことが、証跡保存上とても重要です。
前提条件
- AWSアカウント(root)が必要です。
0. 準備
Trailを作成するリージョンの決定
Trailを作成するリージョンを、下記を参考にして決定します。
- S3のストレージコストが安いこと。 (2015-02-02時点)
- 米国スタンダード (us-east-1) [独自仕様に注意]
- オレゴン (us-west-2)
- アイルランド (eu-west-1)
- シンガポール (ap-southeast-1)
1. 事前作業
CloudTrailのマネジメントコンソールにアクセス
CloudTrailのマネジメントコンソールにアクセスします。
2. 本作業
2.1. CloudTrailの有効化
- "今すぐ始める"ボタンをクリックします。
2.2. CloudTrailの設定
- 以下を入力します。
:証跡名: all
:証跡情報を全てのリージョンに適用: はい
:新しい S3 バケットを作成しますか: はい
:S3 バケット: (S3バケット名)
- "有効化"ボタンをクリックします。
3. 事後作業
3.1. CloudTrailの設定の確認
一覧の'all'をクリックします。
画面の右上の"ログ記録"がOnと表示されていれば、証跡は有効になっています。
設定後しばらくして画面をリロードすると、"配信された最後のログファイル"という文字列と日時情報が表示されます。 これは、先程のCloudTrailを有効にしたときの操作ログが早速S3に保存されたことを示しています。
3.2. APIアクティビティ履歴の確認
"API アクティビティ履歴"(リンク)をクリックします。
"配信された最後のログファイル"が表示された後であれば、以下の4つのイベントが表示されているはずです。
- CreateTrail
- StartLogging
- CreateBucket
- PutBucketPolicy
3.3. S3バケットの確認
https://console.aws.amazon.com/s3/home にアクセスして、CloudTrail用のバケットが存在することを確認してください。
"配信された最後のログファイル"が表示された後であれば、以下のバケットの下にログが保存されているはずです。
- バケット名 / AWSLogs / AWSアカウントID / CloudTrail / リージョン名 / 年 / 月 / 日 /
完了
次に、IAM関連の設定を行います。