LoginSignup
1
0

More than 3 years have passed since last update.

@hiro-tech1192(H S)

AWSでマルチアカウント環境を実装してみた(③CloudTrail編)

Last updated at Posted at 2021-03-28

はじめに

前回記載した概要編、Organizations編の続きとなります。今回はCloudTrailを有効化して、セキュリティアカウントにログを収集するところまでを書きます。
※前回記事はこちらを参照ください

全体構成

概要図はこんな感じです。Organizations内に複数のアカウントがありますが、これらメンバーアカウントで生成されたCloudTrailnoログを、セキュリティアカウント内のS3バケットに集約して保存する形になります。
構成図v2.png

対応手順

以下、対応手順を記載します。Organizationsコンソールは現時点では画面デザインが新しいものと古いものの両方を使えますが、今回は新しい方を使っていきます。

ログ集約用のS3バケット作成

メンバーアカウント(セキュリティアカウント)での操作となります。まずは今回必要になるS3バケットを作成します。コンソールからポチポチするだけなので詳細は割愛しますが、バケットポリシーは以下の通り設定ください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::バケット名"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::バケット名/AWSLogs/管理アカウントID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::バケット名/AWSLogs/組織ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

上記ポリシー内の置き換え文字は以下の通りです。

  • バケット名:今回作成するバケットの名前
  • 管理アカウントID:Organizatinsの管理アカウントのIDを指定。例)123456789
  • 組織ID:Orgenizationsを有効化した際に割り当てられるID。Organizationコンソールから確認可能。

管理アカウントでのCloudTrail有効化

ここから先は管理アカウントで操作を行います。上に記載した通り、Organizaitonsでは新旧デザインのコンソール画面が使えます。旧コンソールの場合、CloudTrailの有効化はOraganizations画面から行えましたが、新コンソールで同じ操作を行おうとすると以下の警告メッセージが表示されます。少なくとも2021年3月現在はCloudTrailコンソールから設定を行うことが推奨されているようなので、今回の手順でもこれに従います。
010.png

というわけで管理アカウントでCloudTrailのコンソールを開きます。画面内の「証跡の作成」をクリックします。
020.png

必要な情報を入力して「次へ」をクリックします。「組織内の全てのアカウントについて有効化」がポイントです。必ずチェックしましょう。
ストレージの場所は「既存のS3バケットを使用する」を選び、先ほど作成したS3バケット名を指定します。SSE-KMSの有効化は任意ですが、セキュリティが向上するのでONにしておいた方がいいと思います。
030.png

次の画面はデフォルトのまま、管理イベントのみ取得するようにしました。このあたりは運用の要件に応じて随時見直してください。設定したら「次へ」をクリックします。
040.png

続いて確認画面が表示されるので、「証跡の作成」ボタンをクリックします。無事作成されると以下の画面が表示されます。
050.png

Organizations側の設定も確認してみます。左メニューから「サービス」を開くと、CloudTrailの「信頼されたアクセス」が有効になっているのが分かります。
このように、新しコンソールでは各サービス側でOrganizationsのサービスを有効化する手順に変更になっているようです。
060.png

メンバーアカウント(セキュリティアカウント)のS3バケットも確認してみます。下記の通り、正しくログ出力が行われることが確認できました。
※メンバアカウントにスイッチして確認してください
070.png

最後に

今回はCloudTrailの有効化方法を説明しました。バケットはメンバーアカウントのものを使用していますが、CloudWatchなどでイベント処理を行う場合は、管理アカウント側で設定を行う必要がありますのでご注意ください。
AWS ConfigやGuardDutyはメンバーへの委任機能があるので、CloudTrailでも同様なことができるようアップデートに期待しています。

今回の記事が誰かのお役に立てると幸いです。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0