トップ > AWS Health > AWS Healthの重要度が高いイベントを考えてみる

AWS Healthの重要度が高いイベントを考えてみる

AWS Health
記事タイトルとURLをコピーする

こんにちは!エンタープライズクラウド部クラウドコンサルティング課の日高です。

もし私のことを少しでも知りたいと思っていただけるなら、私の後輩が書いてくれた以下のブログを覗いてみてください。

sabawaku.serverworks.co.jp

今回は、AWS Healthの重要度が高いイベント について調査をしてみたので記載していきます。

はじめに

過去にこのような要望をお客様からいただきました。

  • AWS Healthの本当に重要度が高いイベントのみを通知させたい。通知が多いと運用上の負担になるので必要最小限に抑えたい。

そのため、AWS Healthのイベントの調査を行ったのでその内容を本ブログに記載していきます。
AWS Healthについては以下の弊社ブログを参照してください。

※AWS Healthについて

blog.serverworks.co.jp

結論

AWS Healthイベントの "service""ABUSE""RISK"のものが特に重要度が高い考えられます。
※あくまで個人的な認識になるため注意してください。

調査内容

全体像

先に調査内容の全体像を記載します。
以下フローで調査をしていきました。

  1. AWS Healthのイベントの形式と種類について
  2. 重要度が高いAWS Healthのイベントの選別

以降に詳しい内容を記載していきます。

AWS Healthのイベントの形式と種類について

イベントのリクエスト構文

公式ドキュメントを確認する限り以下のような構文になっているみたいです。
今回は、AWS Healthの重要度が高いイベントのみ通知させたいので、「eventType」を利用するのがよさそうです。

{
   "filter": { 
      "availabilityZones": [ "string" ],
      "endTimes": [ 
         { 
            "from": number,
            "to": number
         }
      ],
      "entityArns": [ "string" ],
      "entityValues": [ "string" ],
      "eventArns": [ "string" ],
      "eventStatusCodes": [ "string" ],
      "eventTypeCategories": [ "string" ],
      "eventTypeCodes": [ "string" ],
      "lastUpdatedTimes": [ 
         { 
            "from": number,
            "to": number
         }
      ],
      "regions": [ "string" ],
      "services": [ "string" ],
      "startTimes": [ 
         { 
            "from": number,
            "to": number
         }
      ],
      "tags": [ 
         { 
            "string" : "string" 
         }
      ]
   },
   "locale": "string",
   "maxResults": number,
   "nextToken": "string"
}

※イベントの構文について、詳しくは以下をご覧ください。

docs.aws.amazon.com

イベントタイプの構文

公式ドキュメントを確認する限り以下のような構文になっているみたいです。

{
   "filter": { 
      "eventTypeCategories": [ "string" ],
      "eventTypeCodes": [ "string" ],
      "services": [ "string" ]
   },
   "locale": "string",
   "maxResults": number,
   "nextToken": "string"
}

上記を確認する限り、「eventTypeCategories」「eventTypeCodes」「services」でイベントタイプの内容を絞り込めそうなことが分かりました。
そのためそれぞれのカテゴリについて見ていきます。

※イベントタイプの構文について詳しくは以下をご覧ください。

docs.aws.amazon.com

eventTypeCategoriesの種類

eventTypeCategoriesの種類として以下の3つが存在しています。
それぞれのeventTypeCategoriesが意味するものは以下と認識しています。(※あくまで個人的な認識になるため注意してください。)

  • issue:AWS サービスに影響を与える障害やその他の問題を指します。ここには、サービスの中断やパフォーマンスの低下など、AWS リソースの運用に直接影響するイベントが含まれます。
  • accountNotification:アカウントに関連する通知をカバーします。ここには、セキュリティの警告や料金の変更、ポリシー違反など、ユーザーのAWSアカウントに直接関連する情報が含まれます。
  • scheduledChange:AWSが予定しているサービスの変更やメンテナンスなど、事前に計画されたイベントを指します。ここには、システムのアップグレードや定期メンテナンスが含まれ、これらのイベントは通常、事前に通知されます。

※イベントタイプについて詳しくは以下をご覧ください。

docs.aws.amazon.com

eventTypeCodesとservicesの種類

eventTypeCodesとservices は種類が多すぎて、存在する eventTypeCodes と services 一覧が記載されている公式ドキュメント等がありませんでした。

そのため、以下のAWS CLIコマンド(情報量が多いのでファイルに保存してエディタで確認するのをお勧めします。)を用いて eventTypeCodes と services の組み合わせの種類を見ていきます。

aws health describe-event-types --region us-east-1 >> event-types.json

上記のAWS CLIコマンドの構造は以下の通りです。

  • aws health: この部分は、コマンドが対話するサービスを指定しています。ここではAWS Healthです
  • describe-event-types: 実行する操作です。AWS Healthのイベントタイプのリストを取得します
  • --region us-east-1: このオプションは、リージョンを指定しています(AWS Healthのイベントはバージニア北部リージョン固有のため)

※詳しくは以下をご覧ください。

docs.aws.amazon.com

2024年4月12日時点のAWS CLIコマンドの実行結果を記載します。
情報量が多いため、クリックした方のみ見れるようにさせていただいています。

重要度が高いAWS Healthのイベントの選別

先ほどのAWS CLIで抽出した情報をもとに、特に重要度が高いと考えられるAWS Healthのイベントを以下に記載します。(※あくまで個人的な認識になるため注意してください。)
個人的には、"service": "ABUSE""service": "RISK"が重要なものになると考えています。

以下に該当するcodeと各コードの文字列から推測される説明を記載します。

"service"が "ABUSE"の"code"

  • AWS_ABUSE_DOS_REPORT: 分散型サービス拒否(DDoS)攻撃などのDoS攻撃に関する報告。
  • AWS_ABUSE_EMAIL_SPAM_REPORT: AWSリソースを使用して行われるスパムメール送信の報告。
  • AWS_ABUSE_EXTREMIST_VIOLENT_CONTENT: 過激派または暴力的な内容のホスティングに関する通知。
  • AWS_ABUSE_FORUM_SPAM_REPORT: フォーラムスパムの発生報告。
  • AWS_ABUSE_HATE_SPEECH: ヘイトスピーチに関するコンテンツの報告や通知。
  • AWS_ABUSE_ILLEGAL_CONTENT_REPORT: 違法コンテンツのホスティングに関する報告。
  • AWS_ABUSE_INTRUSION_ATTEMPT_REPORT: 不正侵入試みの報告。
  • AWS_ABUSE_IP_CYCLING: IPアドレスの不正な使用や頻繁な変更に関する通知。
  • AWS_ABUSE_MALWARE_WEBSITE_REPORT: マルウェアを含むウェブサイトの報告。
  • AWS_ABUSE_OPEN_PROXY_REPORT: オープンプロキシとしての使用の報告。
  • AWS_ABUSE_PHISHING_REPORT: フィッシング詐欺に関する報告。
  • AWS_ABUSE_PII_CONTENT_REMOVAL_REPORT: 個人情報を含むコンテンツの削除要求。
  • AWS_ABUSE_PORT_SCANNING_REPORT: ポートスキャンの実行に関する報告。
  • AWS_ABUSE_PUBLICLY_AVAILABLE_INFORMATION_REPORT: 公開情報に関する問題の通知。
  • AWS_ABUSE_SPAM_WEBSITE_REPORT: スパムを配信するウェブサイトの報告。
  • AWS_ABUSE_TAKEDOWN_REQUEST_REPORT: コンテンツの削除要求に関する報告。
  • AWS_ABUSE_WEBCRAWL_REPORT: Webクローリングの不正利用に関する報告。

"service"が "RISK"の"code"

  • AWS_RISK_ACCOUNT_CONSOLE_COMPROMISE:AWSアカウントのコンソールアクセスが侵害された可能性があることを示す。
  • AWS_RISK_CREDENTIALS_COMPROMISED:アカウントの認証情報が侵害されたことを示す。
  • AWS_RISK_CREDENTIALS_COMPROMISE_SUSPECTED:認証情報の侵害が疑われるが、確認されていない状態。
  • AWS_RISK_CREDENTIALS_EXPOSED:認証情報が不正に公開されたことを示す。
  • AWS_RISK_CREDENTIALS_EXPOSURE_SUSPECTED:認証情報が不正に公開された疑いがある状態。
  • AWS_RISK_IAM_QUARANTINE:リスクが検出されたため、IAMエンティティを隔離する措置を示す。

まとめ

さらっとですが調査した内容をまとめてみました。
本記事が誰かの助けになれば幸いです。

日高 僚太(執筆記事の一覧)

2024 Japan AWS Jr. Champions / 2024 Japan AWS All Certifications Engineers / Japan AWS Jr. Champions of the Year 2024

EC部クラウドコンサルティング1課所属。2022年IT未経験でSWXへ新卒入社。
記事に関するお問い合わせや修正依頼⇒ hidaka@serverworks.co.jp