こんにちは、最近はAWS Control Towerばかり触っている上野です。 Control Towerの検証を進める中で色々と中身が見えてきたこともあり、個人的に嬉しいポイントと注意ポイントをまとめてみます。 導入検討をされている方、参考となれば幸いです。 Control Towerとは? 詳細は以前書いた記事でまとめています。 東京上陸!AWS Control Towerを触ってマルチアカウント管理のベストプラクティスを理解する ~セットアップ編~ - NRIネットコム Design and Tech Blog 【Part2】東京上陸!AWS Control Towerを触ってマルチアカウント管理のベストプラクティスを理解する ~運用編~ - NRIネットコム Design and Tech Blog AWSのベストプラクティスに基づいたセキュアな状態の新規アカウントのセットアップと
はじめに 自分が使っているAWS環境のセキュリティに問題がないかと心配になることはないでしょうか?私はよくあります。そこでCIS Amazon Web Service Foundations Benchmark というAWSのセキュリティのガイドラインに沿って使っているAWSアカウントのセキュリティの状況をチェックしてみました。チェック項目は全部で52あります。内容を一通り確認したところ知らなかったAWSのセキュリティの機能やノウハウを知ることができ、見ただけでもとても勉強になりました。簡単にチェックする方法も併せて紹介しますのでぜひ使っているAWS環境でチェックしてみてください。 1 IAM 1.1 rootアカウントを利用しない rootアカウントは強力な権限を持つため、rootアカウントを利用せずIAMユーザーを利用してください。通常運用でrootアカウントが利用されていないか確認し
通常では大変なCloudTrailのセキュリティ監視をsumologicを使って簡単に実現します。sumologicはログ分析という分野の中でもクラウドに特化していて、特にAWSサービスへのデフォルトのインテグレーションが優れています。 こんにちは、臼田です。 皆さん、セキュリティ対策で疲弊してないですか? 今回は面倒なCloudTrailのセキュリティ監視をちょー簡単にやってみたいと思います。使うのはSumo Logicです。 これからなんで大変なのか、なんでSumo Logicを使うといいのかというゴタクをつらつら並べますので、知ってるよって方は後半の「やってみた」部分まで飛ばしてください。 CloudTrailの必要性 AWSインフラの管理において、CloudTrailの有効化はすべてのユーザにおいて必須と言っても過言ではありません。 CloudTrailはAWSサービスのすべてのA
アマゾン ウェブ サービス (AWS) コネクタを使用して、AWS サービス ログを Microsoft Sentinel にプルします。 これらのコネクタは、Microsoft Sentinel に AWS リソース ログへのアクセスを許可することで機能します。 コネクタを設定すると、Microsoft Sentinel とアマゾン ウェブ サービス信頼関係が確立されます。 これを行うには、Microsoft Sentinel にアクセス許可を付与するロールを AWS で作成し、AWS ログにアクセスできるようにします。 このコネクタは、CloudTrail 管理とデータ ログ用のレガシ コネクタと、S3 バケットからログをプルして次の AWS サービスからログを取り込む新しいバージョンの 2 つのバージョンで使用できます (リンクは AWS ドキュメントのものです)。 Amazon V
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS クライアント VPN の CloudTrail ログ AWS クライアント VPN は、AWS CloudTrail と統合されます。クライアント VPN のユーザー、ロール、または AWS サービスで実行されたアクションのレコードを提供するサービスです。CloudTrail は、クライアント VPN のすべての API 呼び出しをイベントとしてキャプチャします。キャプチャされたコールには、クライアント VPN コンソールからの呼び出しと、クライアント VPN API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、クライアント VPN のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効に
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 複数のアカウントからの CloudTrail ログファイルの受信 は、複数の から単一の Amazon S3 バケットAWS アカウントにログファイルを CloudTrail 配信できます。例えば、アカウント IDs が 111111111111、、222222222222333333333333、444444444444 AWS アカウントの 4 つの があり、これら 4 つのアカウントすべてからアカウント 111111111111 に属するバケットにログファイルを配信 CloudTrail するように を設定するとします。これを行うには、以下の手順を実行します。 配信先バケットが配置されるアカウント (この例では 111111111111) で、証跡を作成します
AWS CloudTrailはAWSの操作(正確にはAPIコールの呼び出し)を記録するサービスです。誰がどのような操作をしたのかを追うことができるため、監査に役立ちます。 AWSを本格的に利用しているところでは、用途に応じてAWSアカウントを複数作成しているケースが多いかと思います。複数AWSアカウントそれぞれに対してCloudTrailを有効化して操作ログを収集しているのですが、アカウントまたいで検索したい場合があります。本記事は複数AWSアカウントのCloudTrailログファイルを一つのS3バケットに集約する方法を紹介します。 構成 S3バケットの作成 CloudTrailの証跡の作成 確認 参考 構成 アカウントA (AWSアカウントID: 111111111111) CloudTrailの証跡を作成するAWSアカウント アカウントB (AWSアカウントID: 2222222222
AWS CloudTrail は、Amazon DynamoDB のデータイベントのログ記録のサポートを開始しました。この新機能により、CloudTrail を使用して、すべての DynamoDB テーブルまたは読み取り専用フィルターと書き込み専用フィルターを備えた特定のテーブルからアイテムレベルの DynamoDB アクティビティをログに記録できるようになりました。CloudTrail の 高度なイベントセレクターを使用して、DynamoDB からログに記録するデータイベントをよりきめ細かく制御することもできます。すべての DynamoDB データイベントは Amazon S3 バケットおよび Amazon CloudWatch Events に送信されます。これにより、データアクセスの監査ログが作成され、CloudTrail によって記録されたイベントに応答できます。DynamoDB
AWSは、Amazon ECSでコンテナ内コマンド実行を可能にする「Amazon ECS Exec」の一般提供を開始しました。 これにより、開発者は実行中のコンテナへのシェルアクセスを得られ、DockerやKubernetesのようにコンテナのセットアップやデバッグが容易になります。 ECS Execは強力なデバッグツールを提供する一方で、本番環境での使用はセキュリティリスクを伴うため、AWS CloudTrailを使った監査やSysdig Secureを通じたセキュリティポリシーの適用が推奨されます。 この機能により、開発者はクラウドベースのコンテナ管理作業を効率化し、セキュリティを維持しながら利便性を享受できるようになります。 詳細はこちら Sysdigに関するお問い合わせはこちらから 最近の投稿 カテゴリー アーカイブ
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 のセキュリティベストプラクティス AWS CloudTrail AWS CloudTrail には、独自のセキュリティポリシーを策定して実装する際に考慮すべきセキュリティ機能が数多く含まれています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるので、処方箋ではなく、あくまで有用な考慮事項とお考えください。 CloudTrail 探偵セキュリティのベストプラクティス 証跡の作成 AWS アカウント内のイベントを継続的に記録するには、証跡を作成する必要があります。追跡記録を作成しなくても、管理イベントの 90 Cloud
どうも、くればやしです。 AWS CloudTrail(以下、CloudTrail)はAPIの実行履歴を保存してくれるサービスです。 CloudTrailの費用は他のサービスと比べると少額であるため、課金体系を意識することは少ないかもしれませんが、案外わかりづらい部分もあるため、今回はCloudTrailの課金体系についてまとめてみます。 CloudTrailとは CloudTrailについて、AWSのドキュメントに要点がまとまっていますので、まずそれを引用します。 AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を可能にするサービスです。 CloudTrail を使用すると、AWS インフラストラクチャ全体でアカウントアクティビティをログに記録し、継続的に監視し、保持できます。CloudTrail では、AWS マネジメントコンソー
はじめに 中山(順)です 4年ほど前にこの記事のタイトルと同じテーマで資料を作成したことがあるのですが、古い内容があったり新しいサービスのことが含まれていなかったりするので改めてまとめてみました。令和だし! その時の資料はこちらです(クラスメソッドにジョインするくらい2年前です)。 AWSアカウントを作ったら最初にやるべきこと サインアップ (業務利用の場合)非個人メールアドレスでサインアップ サポートプランの確認 ID管理 / 権限管理 CloudTrailの有効化 ルートアカウントのMFA設定 IAM User / IAM Groupの作成 パスワードポリシーの設定 GuardDutyの有効化 Security Hubの有効化 請求 IAM Userによる請求情報へのアクセス許可 支払通貨の変更 Budgetの設定 Cost Explorerの有効化 Cost Usage Report
本書ではAWS初級者・中級者向けにセキュリティについて解説します。次のような人にとって、特に有益です。 ・AWSに興味はあるけどなんとなく怖い ・クラウド破産の記事を見るたびにドキドキする ・セキュリティの重要性は理解しているけど、実践はできていない AWSではアカウントを作成すると、あらゆることができるようになります。しかし、いきなりクラウドの世界に放り出され、たいしたガイドはありません。そこで本書ではAWS利用者全員が実践すべきプラクティスを体系的に解説し、自ら手を動かしながら学びます。 試し読み無料で試し読みできます。ぜひご覧ください。 https://drive.google.com/file/d/141lxDb3M71F62ucVdLvyBv6_MxjtD8KB/view 構成第I部「基礎知識」ではクラウド破産とAWSに関する基礎知識を学びます。なぜクラウド破産が起きるのか学び、
Terraform・Serverless Framework・GoでAWSアカウントセキュリティを実装します。 詳細はブログからどうぞ! https://nekopunch.hatenablog.com/entry/2020/09/11/084342 【目次】 1章 AWSセキュリティ戦略 2章 AWS CLI入門 3章 Terraform入門 4章 git-secretsの導入 5章 AWSアカウント保護 6章 IAMグループによる権限管理 7章 パスワードポリシーの厳格化 8章 AWS Budgetsによる請求アラート 9章 ガードレールの構築 10章 S3による安全なログ管理 11章 IAMロールによる権限付与 12章 CloudTrailによる証跡管理 13章 AWS Configによる構成管理 14章 SNSによるメール通知 15章 GuardDutyによる脅威検知 16章 IA
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く