2025年5月24日
ど~も。うさノリブログです。
今回はAWSでの管理サービス
AWS CloudTrailについて
ゆるりお話ししていきましょう♪
AWS CloudTrailってなに?
AWS CloudTrailは、
「アマゾン クラウドトレイル」と読み、
AWSが提供する監査、コンプライアンス、
セキュリティ監視を目的としたログ記録サービスです。
Trailは日本語だと「跡」「痕跡」という意味です。
CloudTrailは、AWSアカウント内で行われた
すべての操作(APIコールやAWS Management Console
でのアクション)を記録し、イベント履歴を保存します。
CloudTrailを利用することで、誰が、いつ、
どのような操作をAWSリソースに対して
行ったのかを詳細に追跡できます。
これにより、セキュリティの強化や
トラブルシューティングが可能になります。
AWS CloudTrailの主要な機能
- APIコールの記録
- CloudTrailは、AWSサービスへの
すべてのAPIコール
(AWS Management Console、AWS CLI、
SDKからの操作を含む)を記録します。
これにより、全操作の透明性が確保されます。
※APIコール:
プログラムがソフトウェア同士をつなぐための
取り決めを利用して他のサービスの機能を呼び出す操作。
- CloudTrailは、AWSサービスへの
- イベント履歴の管理
- 過去90日間の管理イベント履歴を
AWS Management Consoleで
直接確認できます。
これにより、最近の変更や操作の追跡が
可能です。
- 過去90日間の管理イベント履歴を
- S3へのログ保存
- CloudTrailは、ログデータをAmazon S3
バケットに保存します。この保存されたデータは、
長期間の監査やコンプライアンス要件を
満たすために利用できます。
- CloudTrailは、ログデータをAmazon S3
- ログの分析
- CloudTrailログをAmazon CloudWatch Logsに送信し、
リアルタイムでのモニタリングや異常検知を行えます。
また、AWS Athenaを使用して、ログデータを
簡単にクエリし、必要な情報を抽出できます。
- CloudTrailログをAmazon CloudWatch Logsに送信し、
- コンプライアンスの強化
- CloudTrailは、セキュリティ監査や
コンプライアンス要件に対応するための
証跡を提供します。
これにより、PCI DSSやISO 27001などの
規制に準拠した運用が可能です。
- CloudTrailは、セキュリティ監査や
- マルチリージョン対応
- CloudTrailは、複数リージョンにまたがる
AWSアカウントの操作を一元的に
記録できます。
これにより、グローバルな監視と運用が
効率化されます。
- CloudTrailは、複数リージョンにまたがる
AWS CloudTrailの活用事例
- セキュリティ監視
- 不正なアクセスや異常な操作を
検出するために、CloudTrailログを
リアルタイムで監視します。
例えば、許可されていないユーザーがリソースに
アクセスした場合にアラート
をトリガーできます。
- 不正なアクセスや異常な操作を
- トラブルシューティング
- システム障害やリソースの誤設定の
原因を特定するために、
CloudTrailのイベント履歴を参照します。
誰が何を変更したのかを正確に把握できます。
- システム障害やリソースの誤設定の
- コンプライアンス報告
- CloudTrailログを活用して、セキュリティ監査や
コンプライアンス報告をサポートします。
必要に応じてログデータを第三者に提供できます。
- CloudTrailログを活用して、セキュリティ監査や
- リソースの変更管理
- リソースの作成、変更、削除といった操作履歴を
追跡し、運用上の変更管理を強化します。
- リソースの作成、変更、削除といった操作履歴を
AWS CloudTrailの料金体系
AWS CloudTrailの料金は次の要素で構成されています:
- 管理イベント
- 管理イベント
(リソースの作成や変更に関する操作)
の記録は、90日間無料で利用可能です。
- 管理イベント
- データイベント
- S3オブジェクトレベルのアクセスや
Lambda関数の実行記録などの
データイベントには追加料金が
発生します。
- S3オブジェクトレベルのアクセスや
- インサイトイベント
- 異常なアクティビティを検出する
CloudTrail Insightsには、
利用量に基づく料金がかかります。
- 異常なアクティビティを検出する
- ログ保存と分析
- S3へのログ保存やCloudWatch Logsへの
送信には、S3やCloudWatchの料金が
適用されます。
- S3へのログ保存やCloudWatch Logsへの
AWS CloudTrailの始め方
- AWSアカウントの作成
- AWSの公式サイトから
無料アカウントを作成します。
- AWSの公式サイトから
- CloudTrailの有効化
- AWS Management Consoleで
CloudTrailを有効にします。
ログを保存するためのS3バケットを
設定します。
- AWS Management Consoleで
- マルチリージョントレイルの設定
- 複数のリージョンでの操作を
一元的に記録するために、
マルチリージョントレイルを
有効化します。
- 複数のリージョンでの操作を
- ログ分析のセットアップ
- ログデータをCloudWatch Logsや
Athenaに連携して、
リアルタイムモニタリングや
クエリ分析を設定します。
- ログデータをCloudWatch Logsや
- アラートと通知の設定
- CloudWatchアラームを設定し、
異常な操作が検出された場合に
通知を受け取れるようにします。
- CloudWatchアラームを設定し、
まとめ
AWS CloudTrailは、AWSリソースへの
すべての操作を詳細に記録し、
監査やセキュリティ管理、
トラブルシューティングをサポートする
強力なツールです。
AWS環境の透明性を確保し、
セキュリティを強化しながら
コンプライアンス要件を
満たすための重要な
サービスとなっています。
以上!今回はこれまで!
コメント