今回は、AWS CloudTrailを利用して「AWSアカウントのアクティビティやAPI操作のログを記録」していきます。
トラブルの原因特定はもちろん、特定アカウントの不正操作などにも役に立つのがログなので、忘れないように設定しておきましょう。
学習に利用した参考書はこちら!
ポチップ
ポチップ
Amazon Kindle Unlimitedもおすすめ!
証跡の作成をしよう
ログをS3に保存するために、証跡を作成していきます。
無料利用枠では、証跡を作成しなくても90日間保管してくれますので、90日で十分だという方は、後で削除する手順も説明するので、作成した後に消してもらえればいいと思います。
現時点のイベント履歴を確認
まずは、現時点のイベント履歴を確認してみましょう。
検索枠で、「CloudTrail」と検索し、一番最初に出てくる赤枠のサービスを選択します。
AWS CloudTrailの画面が開いたら、「イベント履歴」を選択します。
私の現在のアカウントは、まだ何もしていないので、ログはない状態です。
既に何か利用していたりすると、イベントが表示されていると思います。
証跡の作成
イベント履歴の確認方法がわかったら、実際に証跡を作ってみましょう。
CloudTrailのメニューから、「ダッシュボード」を選択して、「証跡の作成」を選択しましょう。
まずは、証跡属性の選択画面が開くと思います。
基本的には、要望に沿って設定値を入力していけばいいのですが、私の場合は下記のように設定しました。
特に理由がなければ、暗号化は有効にしておきましょう。
- 証跡名
-
任意
- ストレージの場所
-
新しいS3バケットを作成(既存S3を使う場合は、既存のS3バケットを使用するを選択してください。)
- 証跡ログバケットおよびフォルダ
-
デフォルト
- ログファイルのSSE -KMS暗号化
-
有効
- カスタマー管理のAWS KMSキー
-
新規
- AWS KMS エイリアス
-
任意
- ログファイルの検証
-
有効
- SNS通知の配信
-
ー
- CloudWatch Logs
-
ー
続いては、ログイベントの選択になります。
こちらも要望に沿って選択してください。
- イベントタイプ
-
今回は「管理イベント」を選択
- APIアクティビティ
-
今回は「読み取り」と「書き込み」を選択
- AWS KMS イベントの除外
-
ー
- Amazon RDS のデータAPIイベントを除外
-
ー
最後に内容を確認して問題なければ、証跡を作成します。
新しく証跡が追加されていれば作成完了です。
これで、CloudTrailがAWSリソースで実行された管理オペレーションをログに記録してくれるようになったと思います。
証跡の削除をしよう
せっかく証跡を作成しましたが、このままだと課金対象になってしまうので、削除する手順も紹介しておきます。
無料利用枠は、90日間保管してくれるので、長期保存しておきたいという要望がない限りは、軽してしまっても問題はありません。
また、S3を新規で作成した人は、S3も消しておく必要があるので注意しましょう。
証跡の削除
証跡の削除は、先ほど作成した証跡を選択して、削除を選択するだけです。
ちゃんと削除されていれば、OKです。
S3を削除
先ほど「新しいS3バケットを作成」で証跡を作成した方は、S3も削除しておきましょう。
検索欄から、S3と検索して一番最初に表示されるS3というサービスを選択します。
先ほどデフォルトのままにしている方であれば、「aws-cloudtrail-logs-xxxxxx」というバケットが作成されていると思います。
こちらを選択して、削除してもらえればOKです。大したことではないですが、ゴミが残ると後々大変になることも多いので、こまめに削除しておくことをお勧めします。
最後に
今回は、AWS CloudTrailを利用して「AWSアカウントのアクティビティやAPI操作のログを記録」していきました。
初歩的な内容しか紹介はしておりませんが、必要に応じてログを記録しておくことをお勧めします。
他にもAWSを初めて利用する方のために、様々な記事を書いていますので、ぜひ参考にして見てください。
学習に利用した参考書はこちら!
ポチップ
ポチップ
Amazon Kindle Unlimitedもおすすめ!
