CloudTrail が自動有効化されるようになったのに合わせて、設定方法を改めて眺めてみる

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

技術2課の寺田です。
今週は松本と東京を行ったり来たりの1週間です。
松本から新幹線?といつも聞かれるのですが、
新幹線の駅までは遠いので、特急あずさでいつも3時間弱かけて東京まで出ています。

CloudTrailが自動的に有効化されるようになりました

AWSのblogにて案内がありましたが、CloudTrailがすべてのユーザーで自動的に7日間保管され、追跡できるようになりました。
New – Amazon Web Services Extends CloudTrail to All AWS Customers

今まで設定していた証跡情報はどうなるのか

いままで設定していた証跡情報はそのままで問題なさそうです。
今回の自動有効化は、証跡の設定を行っていない、あるいは行っていないリージョンがあるお客様に対して意味があるものとなっています。

設定されているかの確認方法

CloudTrail のページに移動します。
移動方法は、マネジメントコンソールのトップページから
すべてのサービス -> 管理ツール -> CloudTrail
でアクセスができます。

設定されていない場合

ダッシュボードより、以下の画像のように表示されている場合は、新たに証跡の作成が必要です。

設定されている場合

ダッシュボードより、以下の画像のように表示されている場合は、すでに証跡が作成されています。

さらに、証跡が設定されている場合は、
証跡情報がこのような表示となっています。

設定されているが注意が必要な場合

もし証跡情報が、下の画像のような表示になっている場合は、 CloudTrail の設定の見直しが必要になってきます。

名前が Default で、リージョンが個別リージョンで設定されているのは、
すべて というリージョンの選択が出来なかった時の名残ですので、
すべて というリージョンの設定の追加が推奨となります。

すべて というリージョンを設定したら、今度は 各リージョンすべて という形で、2重に記録されてしまいますので、各リージョンで特殊な設定を行っていなければ、 各リージョン は削除してしまって問題ありません。

また、すべて というリージョンへと変更した場合、S3 バケットの権限も足りない可能性があります。もし、権限エラーが出る場合は、 CloudTrail の Amazon S3 バケットのポリシー
を参考にバケットポリシーの修正を行ってください。

証跡の設定をしたほうが良い理由

自動設定されている CloudTrail のログは7日間たつと見えなくなります。
しかし、不正利用があった場合や、うっかりミスなどの追跡など、7日より遅れて気づくことはままあります。
不正利用があった場合などの強力な証拠になりますし、
やはりちょっとしたミスでいろいろ起きる場合は多いですので、
保険のために少しコストが掛かることにはなりますが、最低限S3へログを書き出して保存しておくのがオススメです。

証跡の設定をする

証跡の設定をしていない場合のための、証跡の設定を設定方法を見ていきます。
まず、よく利用するリージョンになっているかを確認してください。これを怠ると、後述のS3の作成の際に普段使っていないリージョンに作成されてしまいます。


ダッシュボードより、証跡の作成を選択します。


以下のような画面となるので、赤枠で囲った欄(認証名、S3 バケット)を埋めてください。
S3 バケットについては、新規に作成する場合、世界で唯一の名前である必要があります。 trail とかでは通常作成できません。
経験上アカウント名とか、アカウントナンバーを入れた設定にするのが一番わかり易く、作成しやすいです。


最終的に以下の画像のようになっていれば作成完了です。

まとめ

CloudTrail が自動的にすべてのお客様で7日間保管されるようになりました。
以前から設定している場合は、大きな変化はありません。
もし、証跡の保存の設定をしていない場合は、証跡は7日間だけじゃ短いので追加設定をしましょう。

サーバーワークスに構築を依頼いただけたら、証跡についてもキッチリ設定しますので、AWSの使い方が不安などの場合は是非依頼ください!

AWS運用自動化サービス「Cloud Automator」