中山です ソリューションアーキテクトとして、AWS環境の利活用をお手伝いするお仕事をしています。 まれによく見るAWS環境 とりあえずこれを見てほしい。 これが絶対にだめと言いたいわけではないです。 一時的な検証環境だったり、とにかくスピード重視でサービスをデリバリーさせる必要があったり、サービスの提供者側が何ら責任を負わない・障害時のビジネスインパクトが無い(そんな状況あるのか?)という前提があったり、状況次第ではこれで十分な時もあると思います。 しかし、一般的な業務システムやサービスの場合にはいろんな意味で不十分でしょう。 では、このような環境をどのように育てていくとよいでしょうか。 この記事では、そんな育てかたの一例を紹介していきたいと思います。 なお、本記事はくっそ長いです。 ちなみに、最終的にはこうなります。 文字が小さすぎて読めない! ちょっとそこのハ○キルーペ貸してくれーw
CloudWatch Logsの料金が高い原因はコレだった。CloudTrailとの微妙な関係 - クラウドワークス エンジニアブログ
こんにちは。crowdworks.jp SREチームの田中(kangaechu)です。先日RubyKaigi2023に参加するため、松本に行きました。街を歩いていると目線の先に山が見えたり、温泉が近くにあったりなど松本の自然が近くにある感じがとてもよかったです。ちょっと住みたくなって不動産屋さんで家賃を眺めたりしておりました。 今回は小ネタとして、AWSのCloudWatchの料金が高くなったことで見つけたCloudTrailの設定についてです。 あなたのCloudWatch LogsとCloudTrailの料金、高くないですか? 先日、AWSのコスト異常検知サービスのCost Anomaly Detection からCloudWatchとCloudTrailのコストが跳ね上がっているとの通知が来ました。 Cost Anomaly Detectionで通知されたCloudWatchとClo
[新機能] 異常な API アクティビティを自動検出!CloudTrail Insights がリリースされました! | DevelopersIO
先日のアップデートで CloudTrail Insights という新機能が追加されました。 AWS CloudTrail announces CloudTrail Insights CloudTrail Insights とは CloudTrail は AWS アカウント内のアクティビティをログに記録することで、セキュリティ分析や、リソース変更を追跡するなど、トラブルシューティングや運用監査するうえで非常に役に立つサービスです。(まだ有効にしてない方は、これを機にいますぐ設定しましょう!それくらい重要です) そして、CloudTrail Insights はこのアクティビティログを AWS 側のマネージド環境で機械学習させ、通常と異なる挙動が起きている場合に、異常アクティビティとして検出してくれる機能です! 利用可能なリージョン すべての商用リージョンで利用可能です! 分析対象のイベント
![[新機能] 異常な API アクティビティを自動検出!CloudTrail Insights がリリースされました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/20d59afbd08bcd9db44f6717a88795dd27fce8f0/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-cloudtrail.png)
はじめに AWS のセキュリティブログにクラウドのアカウントを守るためのヒントが紹介されていたのでメモとしてまとめておきます。 aws.amazon.com はじめに 10 個のセキュリティアドバイス Accurate account info Use MFA No hard-coding secrets Limit security groups Intentional data policies Centralize AWS CloudTrail logs Validate IAM roles Take action on GuardDuty fidings Rotate your keys Being involved in dev cycle おわりに 10 個のセキュリティアドバイス AWS re:Invent 2019 では AWS の最高情報セキュリティ責任者である Step
コンニチハ、千葉です。 監査ログを悪意ある削除から、何が何でも守っていくぞのコーナーです。 みなさんは、AWSの監査ログ(CloudTrail)をどのように保護していますか? CloudTrail を保護するために CloudTrail ログファイルの整合性の検証を有効化 CloudTrail ログファイルを暗号化 S3上のファイルを削除から守るために MFA削除の設定 が考えられます。 よし、保護している!って思っても、ユーザーが Admin 権限を持っている場合、暗号化していようが整合性チェックしていようがデータは削除可能です。しかも、 CloudTrail のレコーディング自体を停止 もできちゃいます。つまり、監査ログが保存されなくなり、何が行われたのか調査が難しくなります。 もしも、万が一、強い 権限がある Admin が第3者に渡ったとしても、大切なログを守りたいです。Admin
![[AWS]監査ログを悪意ある削除から守る | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
[アップデート] CloudTrailログ分析環境が超絶簡単に手に入る!「CloudTrail Lake」がリリースされました | DevelopersIO
本日のアップデートでCloudTrailイベントに対してSQLクエリ実行が可能となる「CloudTrail Lake」がリリースされました! Announcing AWS CloudTrail Lake, a managed audit and security lake CloudTrail Lake とは CloudTrailでは標準のダッシュボードで簡易的なイベント検索を行うことは出来ますが以下のような観点では使いにくいところがありました。 表示されるイベントは90日間 表示されるイベントは現在利用しているリージョンのみ S3などのデータイベントは表示されない 従来、このような課題に対してはユーザ側でAthenaテーブルを作成して、長期間のイベントに対してSQLでの分析可能な環境を実装していたかと思います。 今回リリースされたClodTrail Lakeによって、このような作り込みを
はじめに とあるお客様先の環境で、数十システムをAWSアカウント1つで運用してまして、複数アカウントに分ける事になりました。 「マルチアカウントするならControl Towerでしょ」って気がしませんか? でも検証・調査した結果、不採用としました。 ざっくりまとめ Control Towerがカバーする範囲が不明確 たぶん一番とっつきにくいであろうAWS SSO設定をやってくれない 分かり辛い部分が増えるのを上回るメリットを感じない 筆者(私)について マルチアカウント環境を自分で作るのは初めてで、「Control Tower使ってなかった時はこうだったのにー」という話はできないのでご了承ください。 役割 普段は特定システムのAWS環境の設計構築がメインですが、今の案件ではシステムをまたいだ全体的な改善対応をしてまして、技術的な方針決め・共通部分の実装が主な役割です。 アカウント分離もそ
AWS Control Tower の Landing Zone v3.0 の更新内容を読み解く - Hatena Developer Blog
はてなで SRE をやっている id:nabeop です。 はてなでは AWS アカウント群のガバナンス強化とセキュリティ向上を目的として AWS Control Tower などを組み合わせた環境を構築中です。 構築の舞台裏の一部は Hatena Engineer Seminar #20 「AWS Renovation 編」で話しているので興味のある方はぜひ見てください。 AWS Control Tower によって統制される内容は Landing Zone のバージョンとして管理されており、2022年7月26日に Landing Zone の version 3.0 がリリースされていました。ここでは更新された内容から version 3.0 でどのように変わるかをまとめてみました。 AWS Control Tower 管理の CloudTrail がアカウントレベルの証跡から組織レベ
使用されていないAmazon EBSボリュームを削除してAWSのコストをコントロールする | Amazon Web Services
Amazon Web Services ブログ 使用されていないAmazon EBSボリュームを削除してAWSのコストをコントロールする 業界や業種を問わず、お客様にとってコスト管理は最優先事項の1つです。 EBSボリュームのライフサイクルの可視性が十分でないと、未使用のリソースに対してコストが発生する可能性があります。 AWSはコスト管理のサービスを提供しており、コスト情報へのアクセス、コストの理解、コストの制御、およびコストの最適化を行えるようにしています。 未使用、および管理が行き届いていないAmazon EBSボリュームは、AWS のコストに影響します。 EBSボリュームのライフサイクルは、Amazon EC2 コンピューティングインスタンスから独立して管理可能です。そのため、EBS ボリュームに関連付けられている EC2インスタンスが終了しても、EC2起動時に「終了時に削除」 オ
【全リージョン対応】CloudTrailのログをAthenaのPartition Projectionなテーブルで作る | DevelopersIO
CloudTrailのログを分析するためのAthenaテーブルを作る機会がありましたので、AthenaのPartition Projectionという機能を用いてリージョンごと・時系列ごとでパーティションを分割するように設定してみました。 今回はPartition Projectionについてざっくりおさらいして、CloudTrailのPartition ProjectionのサンプルDDLをご紹介します。 これまで CloudTrail画面から作成されるデフォルトのDDLを用いてAthenaでテーブルを作成して、 us-east-1 の結果を返すクエリを投げてみます。 デフォルトのDDL(クリックで展開) CREATE EXTERNAL TABLE cloudtrail_logs ( eventVersion STRING, userIdentity STRUCT< type: STRI
AWS CloudTrail - Qiita
1.AWS CloudTrailとは? 「いつ誰が何をしたのか」を記録しておいてくれるサービスです。 2.特徴 デフォルトでOnになっている。 90日間保存できる。(90日以上保存させる場合は、S3に保存させるようにする。) S3の保存先はS3でバージョンニングを有効にするか、クロスアカウントなどを利用することを検討する。 5分おきに作成される。 3.イベント履歴 「イベント履歴」をクリックしてみましょう。 CloudTrail はデフォルトで有効になっているため、今まで行ってきた「サインイン」や「IAM ユーザーの作成」などもすべてイベントとして記録されています。 このようにCloudTrail では何も設定しなくても、デフォルトで過去90日間のイベントが無料で記録されています。 今後もし「消した覚えがないのにサーバが跡形もなく消え去っている!」というようなことがあったら、先ずCloud
【Organizations】組織レベルで CloudTrailの証跡を有効化、S3バケットへ集約する | DevelopersIO
AWS Organizations はマルチアカウントの管理、統制に役立つサービスです。 それぞれの AWSアカウントを 組織単位(Organizational Unit: OU)に所属させ、 グループ化することができます。 組織単位で AWSのリソース設定や セキュリティの統制 が可能になります。 一方、 AWS CloudTrail は AWSに対して行った操作(マネジメントコンソール, CLI, SDKなど)の履歴: 証跡 を記録する機能です。 操作の履歴を S3バケットに保存することができます。 必要に応じて Amazon Athena(S3内のデータ分析を行うサービス) など使って ログを調査できます。 Organizations と CloudTrailの連携 で 組織内 全アカウントに一括で証跡を作成 することが簡単にできます。 実際にやってみます。 (準備) CloudTr
CloudTrail S3オブジェクトレベルログ、S3サーバーアクセスログ、どちらを使えば良いか?違いをまとめてみた | DevelopersIO
CloudTrail S3オブジェクトレベルログ、S3サーバーアクセスログ、どちらを使えば良いか?違いをまとめてみた CloudTrail データイベントのオブジェクトレベルのログ記録 | AWSドキュメント S3サーバーアクセスのログ記録 | AWSドキュメント 上記2つは両方とも S3オブジェクトに対しての操作を記録する 機能です。 「S3のログ記録機能」としては同じです。 どちらを使えばいいか、迷うことあると思います。 両者の違い、使い分けを整理してみました。 (以降 「CloudTrail データイベントのオブジェクトレベルのログ記録」を CloudTrail S3ログ 、 「S3サーバーアクセスのログ記録」を S3サーバーログ と呼びます) まとめ まずはじめに、まとめを載せます。 より安価なのは S3サーバーログ です。監査の参考やアクセスログ分析のために、まず検討しましょう
[アップデート] AWS Control Tower のランディングゾーンバージョン 3.0 がリリースされたので変更点を確認してみた | DevelopersIO
こんにちは、大前です。 Control Tower のランディングゾーンバージョン 3.0 がリリースされたので、実際にアップデートして変更点などを確認してみました。 参考 : AWS Control Tower landing zone version 3.0 バージョン 3.0 の変更点 リリースノート を確認すると、3.0 には以下の変更点が含まれている様です。 組織レベルの CloudTrail 証跡を選択するオプションの追加 Control Tower によって管理される CloudTrail 証跡をオプトアウト可能に CloudTrail の設定状況をチェックする 2つのガードレールが追加 グローバルリソースに関する AWS Config をホームリージョンに集約 リージョン拒否ガードレールの SCP 内容がアップデート 管理ポリシー AWSControlTowerServic
![[アップデート] AWS Control Tower のランディングゾーンバージョン 3.0 がリリースされたので変更点を確認してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/1486b2da4d87633e58aebde2114c02dc06f61935/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-control-tower.png)
Looking for Datadog logos? You can find the logo assets on our press page.
[アップデート]CloudTrailで高度なイベントセレクターがサポートされ、記録対象のデータイベントを絞ってコスパよく利用できるようになりました | DevelopersIO
こんにちは、臼田です。 みなさん、証跡管理していますか?(挨拶 今回はCloudTrailのアップデートにより、高度なイベントセレクターがサポートされたので紹介します。 AWS CloudTrail provides more granular control of data event logging through advanced event selectors 概要 CloudTrailはAWSのAPI実行履歴を記録するサービスです。 管理イベントとデータイベントをそれぞれ別々に選択して記録することが可能です。 管理イベントは通常記録されるもので、ほとんどのAWS操作が対象です。通常記録自体は無料です。複数記録設定を行うと別料金がかかります。 データイベントはS3オブジェクトへの操作やLambdaの実行が対象です。これらはいわゆるデータプレーンの処理として別枠で記録されます。これら
AWS CloudTrail は、CloudTrail Insights の新機能である CloudTrail ErrorRate Insights を発表しました。この機能により、お客様は API のエラーコードとそのエラー発生率に基づいて、AWS アカウントにおける異常な活動を特定することができます。 ErrorRate Insights は API の正常な動作パターンのベースラインとなる統計モデルを構築します。実際のエラー発生率とモデルを比較することで、エラーレートの急増をお客様に通知することができ、許可の更新やリソース制限の引き上げなどの改善アクションを講じることができます。 ErrorRate Insights は、お客様がしきい値を設定したり、高度な統計技術を理解しなくても動作します。エンドユーザーに影響を与える前に、お客様が問題を特定できるようにすることで、ErrorRat
AWS Identity and Access Management (IAM) により、AWS CloudTrail ログを表示するときに、IAM ロールによって実行される AWS アクションの担当者を簡単に特定できるようになりました。IAM ポリシーに新しいサービス固有の条件 sts:RoleSessionName を追加すると、IAM プリンシパル (ユーザーまたはロール) やアプリケーションが IAM ロールを引き受けるときに設定する必要があるロールセッション名を定義できます。AWS は、IAM ロールがアクションを実行するときに AWS CloudTrail ログにロールセッション名を追加するため、アクションを実行したユーザーを簡単に特定できます。 たとえば、製品の料金データを AWS アカウントの Amazon DynamoDB データベースに保存し、社内の別の AWS アカウ
メモ 以前取得したAWSの資格「クラウドプラクティショナー」に続き「ソリューションアーキテクトアソシエイト(SAA-C03)」取得を目指して勉強中! いつも何か勉強するときは基本的に書きながら覚えるのでここでアウトプットします。 有益な情報かどうかは不明(笑) AWSにおける運用支援サービス システムは作って終わりではない。 むしろ、世の中に公開してからが本番。 システム運用を安定的に行えるか、その上で利用者の声を聞き日々機能を改善していけるかなど、運用フェーズに入ってからが重要。 この運用フェーズを支援するサービスもAWSには存在する。 代表的なサービスは以下の2つ。 ・Amazon CloudWatch ・AWS CloudTrail CloudWatchは、定期的にAWSリソースの状態を取得し、問題がある場合はそれを運用者に通知するサービス。 何を「問題がある」とするかは、利用者側で
Define & manage GorillaStack real-time workflows to monitor AWS CloudTrail via Slack. Command and control GorillaStack automation from Slack. With ChatOps, you can be alerted, receive detailed information for each notification on demand without logging in to your cloud environment. Receive real-time alerts on suspicious CloudTrail events Notify the right user of each critical event Snooze and canc
AWS アカウントでの不正なアクティビティに関する問題の解決
作成した覚えがないリソースが AWS マネジメントコンソールに表示されます。自分の AWS リソースまたはアカウントが不正利用された可能性があるという通知を受け取りました。 簡単な説明 AWS アカウントで不正なアクティビティが疑われる場合に、そのアクティビティが不正であったかどうかを確認するには、次の手順を実行します。 アカウントで AWS Identity and Access Management ID によって実行された不正なアクションを特定します。 アカウントに対する不正なアクセスや変更を特定します。 不正なリソースの作成を特定します。 不正な IAM リソース (ロール、管理ポリシーなど) の作成や管理上の変更 (AWS Organization で作成された詐欺的な連結アカウントなど) を特定します。 その後、不正なアクティビティを確認できた場合は、この記事の「AWS アカウ
Amazon Athena と AWS CloudTrail を使用したAWS Config Rules 利用料の見積もり | Amazon Web Services
Amazon Web Services ブログ Amazon Athena と AWS CloudTrail を使用したAWS Config Rules 利用料の見積もり AWS Config は、AWSリソースがあるべき設定状態に準拠しているかを監査するサービスです。記録された設定項目の数と 1 か月あたりのリソースごとに行われる AWS Config Rules の評価件数に基づいて課金されます。 この記事では、Amazon Athena を使用して AWS CloudTrail ログをクエリし、AWS Config Rules 評価の詳細な請求内訳を確認する方法をご紹介します。請求の内訳を把握することで月額コストに最も寄与しているルールを特定することができれば、特定のルールの実行頻度を減らしてコストを抑えるといったコスト最適化施策を講じることができます。なお、この記事ではAWS C
[Q&A] AWS CLIエラー:”no identity-based policy allows the cloudformation:DescribeStacks action”を解決したい - Qiita
An error occurred (AccessDenied) when calling the DescribeStacks operation: User: arn : aws : iam:458112670360:user/ec2-user is not authorized to perform: cloudformation:DescribeStacks on resource: arn : aws :cloudformation:ap-northeast-1:458112670360:stack/RDSmySQLcreate/* because no identity-based policy allows the cloudformation:DescribeStacks action
簡単な説明 特定の IAM アイデンティティのアカウントアクティビティを表示およびモニタリングするために、次の AWS サービスと機能のいずれかを使用できます。 AWS CloudTrail イベント履歴 Amazon CloudWatch Logs Insights Amazon Athena クエリ 解決策 CloudTrail イベント履歴を使用するには 注: CloudTrail を使用して、過去 90 日間のイベント履歴を検索できます。 1. CloudTrail コンソールを開きます。 2. [イベント履歴] を選択します。 3. [フィルター] で、ドロップダウンリストを選択します。その後、[ユーザー名] を選択します。 注: AWS アクセスキーでフィルタリングすることもできます。 4. [ユーザーまたはロール名の入力] テキストボックスに、IAM
こんにちは、リサリサです。 Amazon Athena で CloudTrail のログを検索してみました。既に↓のように色々ブログは上がっていたのですが、細かいケースについてのブログなら新たに書くのもありかなと思ったので、書いてみました。 やりたいこと Amazon Athena で S3 に保存されている CloudTrail のログを検索します。 今回は、Route53 のTXTレコードをいつ誰が作成したのかを検索します。 やってみた Athena のテーブルを作る CloudTrail のコンソールから作成します。 「イベント履歴」の「Athena テーブルを作成」をクリックします。 そうすると SQL が自動で作成されますので、そのまま「テーブル作成」します。 Athena のクエリエディタを見ると、テーブルが出来ています。 クエリ結果の場所を設定 クエリ結果の保存場所の S3
CloudTrailのログを分析するためのAthenaテーブルを作る機会がありましたので、AthenaのPartition Projectionという機能を用いてリージョンごと・時系列ごとでパーティションを分割するように設定してみました。 今回はPartition Projectionについてざっくりおさらいして、CloudTrailのPartition ProjectionのサンプルDDLをご紹介します。 これまで CloudTrail画面から作成されるデフォルトのDDLを用いてAthenaでテーブルを作成して、 us-east-1 の結果を返すクエリを投げてみます。 デフォルトのDDL(クリックで展開) CREATE EXTERNAL TABLE cloudtrail_logs ( eventVersion STRING, userIdentity STRUCT< type: STRI
CloudTrail のイベントに対して SQL ベースのクエリにより検索できる環境を提供する CloudTrail Lake には AWS Organizations に属する AWS アカウントのイベントを集約する機能があるので試してみました。 CloudTrail Lake のサービス概要についてはこちらのブログが参考になります 試してみた イベントデータストアの作成 利用の前提条件として、AWS Organizations の管理アカウントで CloudTrail Lake のイベントデータストアを作成する必要があります。 以降は管理アカウントでの作業となります。 CloudTrail Lake を利用するためにはまずはイベントデータストアを作成します。 イベントデータストアの設定において「組織内のすべてのアカウントについて有効化」のチェックをして次に進みます。AWS Organi
お疲れさまです。とーちです。 IAM に複数の MFA デバイスを割り当てる事ができるようになったというアナウンスを見たので試してみました。 かんたんまとめ AWS アカウントのルートユーザーや IAM ユーザーに最大8つの MFA を割り当てられる ログインするときには割り当てられた中のどれか一つの MFA を使ってログイン さっそく試してみた 適当な IAM ユーザーを用意してどんな動きになるのかを確認してみました。 まずは MFA の設定をします。MFA の設定方法は従来と変わらず、AWS マネージメントコンソールの IAM 画面から登録をしていきます。 2022/11/17 追記: MFA の設定方法について従来と変わらずと記載しておりましたが、正確には従来と異なり MFA の名前をつける必要があります。 またこの名前については、AWS アカウント内で一意※1である必要 があり、例
昨今、アクセスキーの漏洩から不正アクセスなどのセキュリティ事故の話が多いですね。AWS外部からAWSリソースを操作するために発行していたアクセスキーが不要になってアクセスキーを無効化したとしましょう。 その無効化したアクセスキーを使ってAWSリソースへアクセスしたらCloudTrailなどにログが残り「無効化したアクセスキーが使われている」と検知できるのか?と気になりました。 今回検証対象のアクセスキーについて IAMユーザのアクセスキーは、アクセスキーIDとシークレットキーの組み合わせにより、利用期間に期限設定がなく永続的に使える認証情報です。期限はないのですがアクセスキーを有効にする(使える状態)か、無効にする(使えない状態)かは設定できます。 アクセスキーを利用する場合の推奨事項 アクセスキーを発行する元のIAMユーザの権限を最小化する アクセスキーを定期的にローテーションして利用す
こんにちは、臼田です。 みなさん、CloudTrailの調査してますか?(挨拶 今回は私のただの備忘録ですが、AthenaでCloudTrailのログをクエリしてcsvでダウンロードするときに、構造データ(つまりuserIdentity)をフラットにしておきたいと思ったのでそのSELECT文を置いておきます。 ちょっと前置き テーブル作成は以下を参照しています。パーティションが自動で切れるのでサイコーですよね。 クエリ 以下のようになります。 SELECT eventVersion, userIdentity.type AS userIdentity_type, userIdentity.principalId AS userIdentity_principalId, userIdentity.arn AS userIdentity_arn, userIdentity.accountId
コンニチハ、千葉です。 監査ログを悪意ある削除から、何が何でも守っていくぞのコーナーです。 みなさんは、AWSの監査ログ(CloudTrail)をどのように保護していますか? CloudTrail を保護するために CloudTrail ログファイルの整合性の検証を有効化 CloudTrail ログファイルを暗号化 S3上のファイルを削除から守るために MFA削除の設定 が考えられます。 よし、保護している!って思っても、ユーザーが Admin 権限を持っている場合、暗号化していようが整合性チェックしていようがデータは削除可能です。しかも、 CloudTrail のレコーディング自体を停止 もできちゃいます。つまり、監査ログが保存されなくなり、何が行われたのか調査が難しくなります。 もしも、万が一、強い 権限がある Admin が第3者に渡ったとしても、大切なログを守りたいです。Admin
困っていた内容 CloudTrail の「イベント履歴」から実行したアクションを探しましたが、見当たりませんでした。なぜでしょうか? どう対応すればいいの? 次の条件を満たしているか確認してください。 アクション実行から15分以上経過している アクション実行から90日を経過していない アクションを処理した AWS リージョンを確認している アクションは管理イベントである ログ記録がサポートされている AWS サービスかつアクションである いずれかの条件を満たさない場合、イベント履歴に実行したアクションは表示されません。 アクション実行から15分以上経過している イベント履歴はアクション実行から通常15分以内に表示されます。アクション実行直後にイベント履歴を確認してもイベントは見当たらない場合がありますので、15分以上待ってからご確認ください。 よくある質問 - AWS CloudTrail
令和元年もよろしくお願いします。那須です。 久々に AWS の普段気にしないことの勉強をしています。 普段気にしない AWS サービスといえば、やっぱり CloudTrail ですよね? CloudTrail のドキュメントを改めて読み返していたら、↓こんなドキュメントを見つけました。 docs.aws.amazon.com ログを S3 や CloudWatch Logs に書き込めるのはご存知だと思いますが、その出力されたログがそもそも改ざんされない前提で運用されてませんか? 私はそうしてました。 今回は、CloudTrail のログが改ざんされたり削除されたりした場合に気づける仕組みを考えてみましょう。 CloudTrail ログファイルの整合性チェックスクリプト このためだけに EC2 インスタンスを起動するのもちょっと違うなーと思うので、Lambda で動くようにしてみました。
コンニチハ、千葉です。 CloudTrailの証跡ログは、マネージメントコンソールから過去90日間のものを検索できますが、90日以前のものは別途S3に保存したファイルを見る必要があります。で、少し前にCloudTrailの画面から対象のログに対してAthenaのテーブルをGUIでさくっと作れるようになっていたので試しました。 また、開発環境のリーソースを消してもいいものか?を確認したかったので棚卸し時に投げたクエリも載せておきます。 Athenaテーブルの作成 Athenaのテーブル作成は、CloudTrailの画面かクリックで作成できるようになっているのでそちらから作成します。 イベント履歴を選択し「Amazon Athena で高度なクエリを実行します」をクリックします。 CloudTrailのログを保存しているS3を選択し、「テーブル作成」をクリックします。 Athenaに移動をクリ
![[AWS ]CloudTrailの証跡ログをAthenaを使ってサクッと解析する[このリソース誰が作ったの?] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9b57dafdec6169827ed19b57890ad883ece27ee1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FCloudTrail.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
冴えないAWS環境の育てかた α | DevelopersIO
AWS CISO からの セキュリティに関する 10 個のアドバイス - おれさまラボ
[AWS]監査ログを悪意ある削除から守る | DevelopersIO
AWSでマルチアカウントするならControl Towerなのか?
AWS CloudTrail ログをモニタリングするためのベストプラクティス
AWS CloudTrail が ErrorRate Insights を発表
IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定
【AWS】SAA資格取得のための学習用備忘録(運用支援サービス) - ポンサラの逆襲
AWS CloudTrail Listener for Slack - GorillaStack
IAM ユーザー、ロール、および AWS アクセスキーのアクティビティを表示する
S3 に保存した CloudTrail のログを Athena でクエリしてRoute 53 のレコードをいつ誰が作成したか調査してみた | DevelopersIO
【全リージョン対応】CloudTrailのログをAthenaのPartition Projectionなテーブルで作る | DevelopersIO
AWS Organizations環境でCloudTrail Lakeを試してみる | DevelopersIO
IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました | DevelopersIO
無効化したアクセスキーを使ったアクセスをCloudTrailで確認できるのか検証してみた | DevelopersIO
Amazon AthenaでCloudTrailのログをクエリするときにuserIdentityをフラットにするSELECT文を書いた | DevelopersIO
[AWS]監査ログを悪意ある削除から守る | DevelopersIO
CloudTrail のイベント履歴で実行したアクションが見当たらないときの対処方法 | DevelopersIO
CloudTrail のログに何かされたら気づける仕組みを考えた - sorta kinda...
[AWS ]CloudTrailの証跡ログをAthenaを使ってサクッと解析する[このリソース誰が作ったの?] | DevelopersIO