AWS CloudTrail（Black Belt解説）

2020.10.21
2021.02.18

記事説明

この記事では、「Management & Governance」分野の重要なサービスである、
AWS CloudTrailについて説明します。

↓Management & Governanceの重要なサービス一覧
・Amazon CloudWatch
・AWS CloudFormation
・AWS CloudTrail
・AWS Config
・AWS Systems Manager

↓参考：【AWS Black Belt Online Seminar】AWS CloudTrail
https://d1.awsstatic.com/webinars/jp/pdf/services/20160831-AWS_BlackBelt-CloudTrail-Config-public.pdf
※こちらから画像も引用しています。

AWS CloudTrailの位置づけ

Amazon Management Toolsとして、5つの機能が提供されています。

１．リソースプロビジョニング
⇒テンプレート定義によるインフラプロビジョニングの自動化
主なサービス：AWS CloudFormationなど

２．構成管理
⇒パッケージの導入、ソフトウェアとリソースのコンフィグレーション、パッチ適用
主なサービス：AWS Systems Managerなど

３．モニタリング
⇒AWSリソースやアプリケーションに対する、モニタリング、アラーム、
メトリクスダッシュボード、ログ、イベント管理
主なサービス：Amazon CloudWatch

４．ガバナンスとコンプライアンス
⇒リソースインベントリ、構成変更管理、ユーザ操作とAPI呼び出しの記録、
セルフマネージドなITカタログ
主なサービス：AWS CloudTrail、AWS Config

５．リソース最適化
⇒コスト低減、パフォーマンス向上、セキュリティの改善に対する推奨事項の自動提供
主なサービス：AWS Trusted Advisor

このうち、AWS CloudTrailは
Amazon Management Toolsの中のガバナンスとコンプライアンス機能として用いられます。

AWS CloudTrailの概要

概要としては、
「AWSユーザの操作（API）をロギングする」
サービスで、ルートアカウントや、IAMユーザのオペレーションをトラッキングできます。
CloudTrail自体は無料で、操作ログをS3にログファイルとして保存します。
デフォルトでは、ログファイルはSSE-KMSを使用して暗号化されます。

なお、CloudTrailのロギング対象になるイベントは２種類あります。

１．API call Event
インスタンスの開始や、キーペアの作成など

２．Non-API call Event
ユーザのサインインアクティビティなど

ログファイルの整合性について

ログファイルの整合性機能を有効にすると、時間単位でDigest FileがS3に配信されます。
Digest Fileの中身はログファイルやDigest Fileの編集・削除が行われていないか記載されています。

これにより、不正利用しようとログインして、色々な操作を行われた後、
証拠を残さないようにCloudTrailのログを削除されたとしても、検知できるようになります。
※ただし、毎時間配信されるようなので、膨大な量になる危険性があります。
無料枠で何とかおさめようとしている方はご注意ください。

CloudTrailのベストプラクティスについて

すべてのリージョンで有効にすることがベストプラクティスとされています。

また、CloudTrailで監視していただけでは、フィルターをかけて検索はできるものの、
コンソール画面で確認しなければいけないので、
不正アクセスが検知された時に通知が欲しい場合は、
下記のようにCloudWatch Logs Metric Filter、Amazon SNSと連携すればOKです。

１．CloudTrailのログをJSON形式でCloudWatch Logsに転送

２．Metric Filterにて特定の文字列のエントリ頻度からアラームを作成する

３．SNSで通知設定を行う

Metric Filterの用途（検索例）としては
・rootログインの監視
・認証失敗の監視
・特定の（大きい）EC2インスタンスタイプ作成の監視
・セキュリティグループ変更の監視
などが挙げられます。

ぜひ、この構成をCloudFormationでテンプレ化してみてください。

まとめ

AWSのサービスの中で非常に重要な位置づけである、CloudTrailに関する記事でした。

想定していないユーザアクティビティ（オペレーション）がないかを検知し、
社内統制を行うのに役に立つ機能になります。
同様にユーザアクティビティの監視機能であるAWS Configについては、
別の記事で紹介いたします。大きな違いは下記の通りになります。

オペレーションからユーザアクティビティを監視する　⇒　CloudTrail
AWSリソースの変化から、ユーザアクティビティを監視する　⇒　AWS Config

それでは、お読みいただきありがとうございました。

阪本翔太

その地域でがんばる人をITで後押ししたい

【AWS】Migration & Transferについて

AWS Snowball Edge（Black Belt解説）

サービス一覧

奈良のIT補助金【デジならキャンペーン】とは？

kintone（キントーン）とは？奈良でkintoneの構築をするならパレットテクノロジーズへ！

【図解】DXとは？どこよりもわかりやすく解説！経済産業省の定義から事例までを体系的にご紹介！

【超まとめ３１９事例】小規模事業者持続化補助金の利用用途

【１１８事例まとめ】製造業における小規模事業者持続化補助金の活用事例

【６３事例まとめ】宿泊業・飲食業における小規模事業者持続化補助金の活用事例

【７３事例まとめ】卸売業・小売業における小規模事業者持続化補助金の活用事例

【１５事例まとめ】自動車整備業・その他サービス業における小規模事業者持続化補助金の活用事例

AWS CloudTrail（Black Belt解説）

記事説明

AWS CloudTrailの位置づけ

AWS CloudTrailの概要

ログファイルの整合性について

CloudTrailのベストプラクティスについて

まとめ

阪本翔太

関連記事

【AWS】Migration & Transferについて

AWS CloudFormation（Black Belt解説）

Server Migration Service（Black Belt解説）

【IT担当者必見】AWS実装における勘どころ

Application Discovery Service（Black Belt解説）

【AWS】ドメイン変更、ドメインなしからサブドメイン(www)へのリダイレクト方法

目次

AWS CloudTrail（Black Belt解説）

記事説明

AWS CloudTrailの位置づけ

AWS CloudTrailの概要

ログファイルの整合性について

CloudTrailのベストプラクティスについて

まとめ

阪本翔太

関連記事

【AWS】Migration & Transferについて

AWS CloudFormation（Black Belt解説）

Server Migration Service（Black Belt解説）

【IT担当者必見】AWS実装における勘どころ

Application Discovery Service（Black Belt解説）

【AWS】ドメイン変更、ドメインなしからサブドメイン(www)へのリダイレクト方法

人気の投稿

目次