はじめに
こんにちは。株式会社ジールの@yakisobapanです。
VPCの作成時にデフォルトで作成されたリソースについて、CloudTrailで記録できるようになりました。
目次
- アップデート内容
- やってみた
- 所感
アップデート内容
ひとことで
いままで:VPC作成時に自動作成したリソースは、CloudWatchメトリクス等を用いて検知する必要があった
これから:CloudTrailにログ記録されるようになり、追加の検知機能実装が不要になった
Amazon VPC では、CloudTrail のログ機能が強化され、VPC 作成時にデフォルトで作成される VPC リソースもログに記録されるようになりました。この機能強化により、VPC リソースの可視性が向上し、監査とガバナンスが向上します。
Amazon VPC はデフォルトで作成された VPC リソースの CloudTrail ログ記録を追加します
(2025/05/13 What's New with AWS?より)
今までは明示的に作成、削除したVPCリソースのみがログとして記録されていました。
VPCの作成(削除)時に同時作成(削除)されたリソースは、CloudTrailでは拾えませんでした。
今回のアップデートで、CloudTrail上にリソース単位で記録されるようになりました!
対象としては以下です。
・サブネット
・ルートテーブル
・NATゲートウェイ
・VPCエンドポイント
・セキュリティグループ
・ネットワーク ACL
やってみた
VPCを作成
- VPCの作成
VPCコンソールより、VPCを作成します。
同時にサブネット1つとルートテーブル1つが作成される設定です。
CloudTrailで確認
- ログの確認
CloudTrailコンソールへ接続し、イベント履歴より以下条件でフィルタします。
リソースタイプ:AWS::EC2::VPC
イベント名「CreateVpc」だけではなく、「CreateSubnet」、「CreateRouteTable」も記録されていることがわかります。
今までは、「CreateVpc」のみ記録され、他のイベントはCloudTrailイベントでは拾えませんでした。
削除も行ってみます。
削除完了後、デフォルトで作成されたサブネットとルートテーブルが削除されていることが、イベントとして記録されています。
所感
今回のアップデートによってCloudTrailでログ記録が完結するようになりました。
従来は、監視、監査を行う手法を構築して対応する必要がありました。
例)
・CloudWatchメトリクス
・AWS Configによるリソース変更検出
「CloudTrailを導入しているからそれだけ確認すれば問題ない」といった方針で監査を行っているシステムも無きにしもあらず、だと思いますので、今まで実は漏れていたというケースも考えられます。
今回のアップデートは、単純に監査能力の向上を感じました。
他のサービスについても、「付帯して作成されるリソースは記録されない」といったものはあるかと思うので、どんどん対象になってくると良いですね。
参考
株式会社ジールでは、「ITリテラシーがない」「初期費用がかけられない」「親切・丁寧な支援がほしい」「ノーコード・ローコードがよい」「運用・保守の手間をかけられない」などのお客様の声を受けて、オールインワン型データ活用プラットフォーム「ZEUSCloud」を月額利用料にてご提供しております。
ご興味がある方は是非下記のリンクをご覧ください: