はじめに
AWS認定試験取得に向けてAWSの知識を整理するためのまとめです。
今回はAmazon CloudTrailについてまとめます。
CloudTrailとは
AWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を行うためのサービスです。
CloudTrailを利用することでAWSインフラストラクチャ全体でアカウントアクティビティをログに記録し
継続的に監視、保持できます。
(誰がいつ、どんな操作をしたのか記録する)
特徴
CloudTrailは全てのAWSアカウントで有効化されていて
アカウントの作成時点からアカウントアクティビティを記録します。
過去90日分のアクティビティを表示、ダウンロードできます。
(90日以上保存する場合は、S3へ保持する)
マルチリージョン設定
ある一つのアカウントで、複数のリージョンから1つのS3バケットにログファイルを
配信するように設定できます。
1つの設定ですべてのリージョンに適用されるため、既存リージョンにも新しくサービスを起動したリージョンにも適用されます。
ログファイルの暗号化
CloudTrailではデフォルトで指定されたS3に配信されるすべてのログファイルをS3の
サーバー側暗号化(SSE)を使用して暗号化します。
AWS KMSキーで暗号化することもできます
データイベント
データイベントログを有効化することで、オブジェクトレベルのAPIアクティビティを記録し
誰がリクエストを行ったか、どこでいつリクエストされたかなどの詳細情報を受け取ることができます
CloudTrail Insights
リソースプロビジョニングの急上昇、IAMアクションのバースト、
または定期的なメンテナンスアクティビティのギャップなど、
AWSアカウントの異常なアクティビティを特定します。
AWS組織全体でCloudTrail Insightsイベントを有効にするか
もしくはCloudTrailtここのアカウントで有効にできます。
統合
Lambdaと統合すると、CloudTrailからS3バケットにログが書き込まれると、
Lambda 関数が呼び出され、CloudTrail により記録されたアクセスレコードを処理したり、
CloudWatch Logsと統合するとCloudTrailで記録された管理とデータのイベントを
CloudWatch Logsに送信しイベントをモニタリングできるようになります。
その他
CloudTrail は S3 バケットに約 5 分ごとにログファイルを送信します。
そのアカウントに対してAPI呼び出しがない場合、CloudTrail はログファイルを送信しません。
複数のアカウントの保存先として、1つのS3バケットを設定できます。
料金
基本的に無料で利用を開始することができます。
S3 に配信されたデータイベント量、CloudTrail Insightsで分析したイベント量に応じて
従量課金となります。