AWSアカウントのアクティビティ記録や監視を行うサービスであるAWS CloudTrailについて詳しく知りたい方いらっしゃるのではないでしょうか。
本記事では、AWS CloudTrailの仕組み、機能、メリットなどについて詳しく解説しています。
AWS CloudTrailについて詳しく知りたい方やAWSアカウントのアクティビティ記録や監視を行いたい方は参考にしてみてください。
目次
AWS CloudTrailとは
AWS CloudTrailとは、AWSアカウント内で行われるすべてのアクティビティを記録・監視するサービスです。
デフォルト状態で有効になっており、過去90日間の履歴が保存されています。
また、CloudTrailの基本機能は無料で使用することができ、利用してアカウントのアクション履歴を可視化すれば、セキュリティを強化するうえで強力なツールとなります。
AWS CloudTrailの仕組み
AWS CloudTrailでは、AWSアカウント作成時から証跡と呼ばれるAWS操作ログを自動で取得する機能が備わっています。
AWSアカウントでは、2種類の証跡を作成することが可能です。
すべてのリージョンに適用される証跡
すべてのリージョンに適用される証跡では、すべてのリージョンで発生したイベントを記録します。
特定のリージョンでログを作成する必要がない場合や、AWSアカウント全体のアクションを追跡したい場合に便利です。
一つのリージョンに適用される証跡
一つのリージョンに適用される証跡では、特定のAWSリージョンで発生したイベントのみを記録します。
特定のリージョンでのアクティビティを重点的に監視したい場合に適しています。
AWS CloudTrail機能
AWS CloudTrailを使用することでどのような機能があるのか解説します。
AWS CloudTrailの機能について詳しく知りたい方は参考にしてみてください。
記録される操作
管理イベント
AWSアカウント内のリソースに対して実行される管理オペレーションを表示します。
表示される内容としては、Amazon S3バケットの作成、IAM、リソースの作成と管理、デバイスの登録、ルーティングテーブルルールの設定、ロギングの設定などを表示することができます。
デフォルトで証跡はAWSのサービス全体で管理イベントをログに記録し、無料で利用できます。
データイベント
AWSアカウントのリソースで実行されるリソースオペレーションを表示します。
表示される内容としては、Amazon S3のオブジェクトレベルAPIアクティビティ、AWS Lambda関数の呼び出しアクティビティ、Amazon DynamoDBのオブジェクトレベルAPIアクティビティなどを表示することができます。
デフォルトで証跡はデータイベントを記録しないため、証跡に明示的にデータイベントログ記録を有効にする必要があります。
Insightsイベント
過去のAPI使用状況の機械学習によって得られたデータから、管理イベントの異常なAPIアクティビティを検出するイベントになります。
通常の操作から逸脱したような操作を記録することができます。
デフォルトで証跡はデータイベントを記録しないため、証跡に明示的にInsightsイベントログ記録を有効にする必要があります。
ログの保管
CloudTrailは、自動的に90日間ログを保管することができます。
設定によりS3やCloudWatchへログを転送することで90日以上たっているログの記録も可能になります。
ログは保管後に改ざんを防ぐために暗号化されています。
AWS CloudTrailメリット
AWS CloudTrailを使用するとどのようなメリットがあるのか解説します。
アカウントのセキュリティと監視
CloudTrailでは、アカウント内で行われるすべてのアクションを記録し、セキュリティインシデントを検出するのに役に立ちます。
不正なアクセスや設定変更などを検出することでセキュリティを強化することができます。
コンプライアンスと監査
CloudTrailでは、規制要件やコンプライアンス基準を満たすための監査トレイルを提供します。
アカウントの変更履歴などを保持しており、監査対象のデータを提供することができます。
異常検出とアラート
Insights イベントを使用することで異常なアクティビティの検出をすることができます。
また、アラート設定をすることで異常なアクションをリアルタイムで検出することができます。
トラブルシューティングと調査
CloudTrailでは、アカウントの問題を特定し、トラブルシューティングを行うことができます。
特定のリソースの変更履歴を追跡することで問題を解決することができます。
AWS CloudTrail料金形態
ここまでの説明でAWS CloudTrailの料金形態が気になる方いらっしゃるのではないでしょうか。
AWS CloudTrailの無料枠と有料枠について解説いたします。
AWS無料利用枠
イベント履歴
CloudTrailはデフォルトでAWSのサービス全体の管理イベントをログに記録し、無料でご利用いただけます。
CloudTrailコンソールを使用すると、アカウントのコントロールプレーンアクティビティの直近90日間の履歴を表示、検索、ダウンロードできます。
また、CloudTrail lookup-events APIを使用して実行することもできます。
Lake
新規のお客様は、CloudTrail Lakeを30日間追加費用なしでお試しいただけます。
この期間中、すべての機能セットをご利用いただけます。
30日間の無料トライアル期間後も、有料利用枠セクションに記載されている標準の従量制サービス料金で、CloudTrail Lakeを中断することなく引き続きご利用いただくことができます。
証跡
追跡を作成することで、進行中の管理イベントのコピーを1つ無料でAmazon Simple Storage Service (S3) バケットに配信できます。
有料利用枠
Lakeトレイル
データインジェスト、保持、分析の料金がかかります。
取り込み料金は、イベントデータストアに取り込まれたデータの量と種類に基づいています。
保持料金は、選択した価格オプションと、イベントデータストア内に保持されるデータのボリュームに基づいています。
インサイト
CloudTrail Lakeで実行されるデータクエリの料金は、クエリによってスキャンされたデータ量に基づきます。
Amazon Athenaを使用してCloudTrail Lakeのデータに対して実行されるクエリについては、Athenaのクエリ料金が請求されます。
まとめ
いかがでしたか。
本記事では、AWS CloudTrailの仕組み、機能、メリットについて詳しく解説しています。
AWS CloudTrailについて知りたい方やAWSアカウントのアクティビティ記録、監視について知りたい方は参考にしてみてください。
【初心者エンジニア必見!エンジニアが持っておきたい持ち物・ガジェット一覧】
エンジニアにおすすめの持ち物とガジェットを一覧でまとめています。
利用することで作業効率を上げることのできる物を厳選して紹介しているため、エンジニアの方やリモート勤務の方は特に参考にしてみてください。
・AWS CloudTrailとは
・AWS CloudTrailの仕組み
・AWS CloudTrail機能
・AWS CloudTrailメリット
・AWS CloudTrail料金形態