AWSアカウント登録後、必ず設定しておくべきこと③

AWS CloudTrail

AWSユーザーの操作（APIコールやユーザーのサインインアクティビテイ）をロンギングするサービス
・ルートアカウント/IAMユーザーのオペレーションとAPIコールをトラッキングしてログを取得するサービス
・ログファイルは暗号化されてS3に保存される
・KMSによる暗号化もサポート
・デフォルトでは90日間ログが保存される※S3ではない
・無料

設定方法

AWSのトップページから CloudTrailを検索する

左のタブを押下しメニューを開く

証跡の作成を押下する

下記の項目を入力、選択し次へを押下する

・証跡名
　└証跡のタイトル
・ストレージの場所
　└ログファイルを保存する場所
・証跡ログパケットおよびフォルダー
　└ログファイルを保管するフォルダー名
・ログファイルのSSE-KMS暗号化
　└ログファイルの暗号化有無
・ログファイルの検証
　└ログファイルの整合性チェック有無
・SNS通知の配信
　└イベント発生時にSNSで通知を受信するかどうか
・Cloud Watch Logsオプション
　└取得したログをCloud Watchに転送してデータの可視化などをすることができる。
　　※有料
・ログファイルの SSE-KMS 暗号化
　└ログファイルはセキュリティーを非常に強固にしなければならないため有効化を推奨。
　　※事前に複合化用のKMSキーを作っておく必要がある。

下記の項目を入力、選択し次へを押下する

・ログイベントの選択
　└取得するログの種類

・管理イベント
　└AWSアカウント内のリソースに対して実行される管理操作（＝コントロールプレーン操作）のこと。　　
　　デフォルトでは、Cloudtrailは管理イベントをログに記録するように設定されている。　　
　　尚、読み取り専用イベントと書き込み専用イベントに区別することもある。　　

　　【読み取り専用イベント】　　
　　　リソースを読み込んで変更を行わないAPI操作が含まれる。　　
　　　たとえば、Amazon EC2のDescribeSecurityGroupsとDescribeSubnets API操作が含まれる。
　　　これらの操作は、EC2リソースに関する情報を表示しますが、構成を変更することはない。　　
　　【書き込み専用イベント】　　
　　　リソースを変更する（または変更する可能性のある）API操作が含まれる。　　
　　　例えば、EC2 RunInstances API操作とTerminateInstances API操作はインスタンスを変更する。

・データイベント
　└データイベントは、リソース上またはリソース内で実行されるリソース操作のこと。データプレーン操作とも言う。　　
　　データイベントは多くの場合、大量のアクティビティ。　
　　　例）　　
　　　・Amazon S3 バケット上で PutObject/GetObject/DeleteObject等のAPI　　
　　　・Lambda関数の実行アクティビティ（Inovoke API）　　
　　　　データイベントはコストが発生するため、Cloudtrailを作成する際にはデフォルトでは有効になっていない。

・insightsイベント
　└分析の結果、異常なアクティビティ

 

設定内容を確認し問題なければ証跡の作成ボタンを押下する

下記の画面が表示されると完了
※S3にデータが蓄積されるため、定期的にログデータを削除した方がいいかもしれない。
※無料枠の場合、パケットと証跡を削除しておかないと無料枠を超えた時点から料金が発生する。