[JAWS-UG CLI] AWSアカウント(root)作業 #1証跡関連の設定

  • 31
    Like
  • 0
    Comment
More than 1 year has passed since last update.

AWSアカウント作成直後にCloudTrailの設定をします。 IAMを利用開始する前に設定しておくことが、証跡保存上とても重要です。

前提条件

  • AWSアカウント(root)が必要です。

0. 準備

Trailを作成するリージョンの決定

Trailを作成するリージョンを、下記を参考にして決定します。

  • S3のストレージコストが安いこと。 (2015-02-02時点)
    • 米国スタンダード (us-east-1) [独自仕様に注意]
    • オレゴン (us-west-2)
    • アイルランド (eu-west-1)
    • シンガポール (ap-southeast-1)

1. 事前作業

CloudTrailのマネジメントコンソールにアクセス

CloudTrailのマネジメントコンソールにアクセスします。

https://console.aws.amazon.com/cloudtrail/home

2. 本作業

2.1. CloudTrailの有効化

  • "今すぐ始める"ボタンをクリックします。

2.2. CloudTrailの設定

  • 以下を入力します。

:証跡名: all
:証跡情報を全てのリージョンに適用: はい
:新しい S3 バケットを作成しますか: はい
:S3 バケット: (S3バケット名)

  • "有効化"ボタンをクリックします。

3. 事後作業

3.1. CloudTrailの設定の確認

一覧の'all'をクリックします。

画面の右上の"ログ記録"がOnと表示されていれば、証跡は有効になっています。

設定後しばらくして画面をリロードすると、"配信された最後のログファイル"という文字列と日時情報が表示されます。 これは、先程のCloudTrailを有効にしたときの操作ログが早速S3に保存されたことを示しています。

3.2. APIアクティビティ履歴の確認

"API アクティビティ履歴"(リンク)をクリックします。
"配信された最後のログファイル"が表示された後であれば、以下の4つのイベントが表示されているはずです。

  • CreateTrail
  • StartLogging
  • CreateBucket
  • PutBucketPolicy

3.3. S3バケットの確認

https://console.aws.amazon.com/s3/home にアクセスして、CloudTrail用のバケットが存在することを確認してください。

"配信された最後のログファイル"が表示された後であれば、以下のバケットの下にログが保存されているはずです。

  • バケット名 / AWSLogs / AWSアカウントID / CloudTrail / リージョン名 / 年 / 月 / 日 /

完了

次に、IAM関連の設定を行います。

http://qiita.com/tcsh/items/6f297076935fa6a06044