中山です ソリューションアーキテクトとして、AWS環境の利活用をお手伝いするお仕事をしています。 まれによく見るAWS環境 とりあえずこれを見てほしい。 これが絶対にだめと言いたいわけではないです。 一時的な検証環境だったり、とにかくスピード重視でサービスをデリバリーさせる必要があったり、サービスの提供者側が何ら責任を負わない・障害時のビジネスインパクトが無い(そんな状況あるのか?)という前提があったり、状況次第ではこれで十分な時もあると思います。 しかし、一般的な業務システムやサービスの場合にはいろんな意味で不十分でしょう。 では、このような環境をどのように育てていくとよいでしょうか。 この記事では、そんな育てかたの一例を紹介していきたいと思います。 なお、本記事はくっそ長いです。 ちなみに、最終的にはこうなります。 文字が小さすぎて読めない! ちょっとそこのハ○キルーペ貸してくれーw
CloudWatch Logsの料金が高い原因はコレだった。CloudTrailとの微妙な関係 - クラウドワークス エンジニアブログ
こんにちは。crowdworks.jp SREチームの田中(kangaechu)です。先日RubyKaigi2023に参加するため、松本に行きました。街を歩いていると目線の先に山が見えたり、温泉が近くにあったりなど松本の自然が近くにある感じがとてもよかったです。ちょっと住みたくなって不動産屋さんで家賃を眺めたりしておりました。 今回は小ネタとして、AWSのCloudWatchの料金が高くなったことで見つけたCloudTrailの設定についてです。 あなたのCloudWatch LogsとCloudTrailの料金、高くないですか? 先日、AWSのコスト異常検知サービスのCost Anomaly Detection からCloudWatchとCloudTrailのコストが跳ね上がっているとの通知が来ました。 Cost Anomaly Detectionで通知されたCloudWatchとClo
[新機能] 異常な API アクティビティを自動検出!CloudTrail Insights がリリースされました! | DevelopersIO
先日のアップデートで CloudTrail Insights という新機能が追加されました。 AWS CloudTrail announces CloudTrail Insights CloudTrail Insights とは CloudTrail は AWS アカウント内のアクティビティをログに記録することで、セキュリティ分析や、リソース変更を追跡するなど、トラブルシューティングや運用監査するうえで非常に役に立つサービスです。(まだ有効にしてない方は、これを機にいますぐ設定しましょう!それくらい重要です) そして、CloudTrail Insights はこのアクティビティログを AWS 側のマネージド環境で機械学習させ、通常と異なる挙動が起きている場合に、異常アクティビティとして検出してくれる機能です! 利用可能なリージョン すべての商用リージョンで利用可能です! 分析対象のイベント
![[新機能] 異常な API アクティビティを自動検出!CloudTrail Insights がリリースされました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/20d59afbd08bcd9db44f6717a88795dd27fce8f0/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-cloudtrail.png)
はじめに AWS のセキュリティブログにクラウドのアカウントを守るためのヒントが紹介されていたのでメモとしてまとめておきます。 aws.amazon.com はじめに 10 個のセキュリティアドバイス Accurate account info Use MFA No hard-coding secrets Limit security groups Intentional data policies Centralize AWS CloudTrail logs Validate IAM roles Take action on GuardDuty fidings Rotate your keys Being involved in dev cycle おわりに 10 個のセキュリティアドバイス AWS re:Invent 2019 では AWS の最高情報セキュリティ責任者である Step
コンニチハ、千葉です。 監査ログを悪意ある削除から、何が何でも守っていくぞのコーナーです。 みなさんは、AWSの監査ログ(CloudTrail)をどのように保護していますか? CloudTrail を保護するために CloudTrail ログファイルの整合性の検証を有効化 CloudTrail ログファイルを暗号化 S3上のファイルを削除から守るために MFA削除の設定 が考えられます。 よし、保護している!って思っても、ユーザーが Admin 権限を持っている場合、暗号化していようが整合性チェックしていようがデータは削除可能です。しかも、 CloudTrail のレコーディング自体を停止 もできちゃいます。つまり、監査ログが保存されなくなり、何が行われたのか調査が難しくなります。 もしも、万が一、強い 権限がある Admin が第3者に渡ったとしても、大切なログを守りたいです。Admin
![[AWS]監査ログを悪意ある削除から守る | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
[アップデート] CloudTrailログ分析環境が超絶簡単に手に入る!「CloudTrail Lake」がリリースされました | DevelopersIO
本日のアップデートでCloudTrailイベントに対してSQLクエリ実行が可能となる「CloudTrail Lake」がリリースされました! Announcing AWS CloudTrail Lake, a managed audit and security lake CloudTrail Lake とは CloudTrailでは標準のダッシュボードで簡易的なイベント検索を行うことは出来ますが以下のような観点では使いにくいところがありました。 表示されるイベントは90日間 表示されるイベントは現在利用しているリージョンのみ S3などのデータイベントは表示されない 従来、このような課題に対してはユーザ側でAthenaテーブルを作成して、長期間のイベントに対してSQLでの分析可能な環境を実装していたかと思います。 今回リリースされたClodTrail Lakeによって、このような作り込みを
はじめに とあるお客様先の環境で、数十システムをAWSアカウント1つで運用してまして、複数アカウントに分ける事になりました。 「マルチアカウントするならControl Towerでしょ」って気がしませんか? でも検証・調査した結果、不採用としました。 ざっくりまとめ Control Towerがカバーする範囲が不明確 たぶん一番とっつきにくいであろうAWS SSO設定をやってくれない 分かり辛い部分が増えるのを上回るメリットを感じない 筆者(私)について マルチアカウント環境を自分で作るのは初めてで、「Control Tower使ってなかった時はこうだったのにー」という話はできないのでご了承ください。 役割 普段は特定システムのAWS環境の設計構築がメインですが、今の案件ではシステムをまたいだ全体的な改善対応をしてまして、技術的な方針決め・共通部分の実装が主な役割です。 アカウント分離もそ
AWS Control Tower の Landing Zone v3.0 の更新内容を読み解く - Hatena Developer Blog
はてなで SRE をやっている id:nabeop です。 はてなでは AWS アカウント群のガバナンス強化とセキュリティ向上を目的として AWS Control Tower などを組み合わせた環境を構築中です。 構築の舞台裏の一部は Hatena Engineer Seminar #20 「AWS Renovation 編」で話しているので興味のある方はぜひ見てください。 AWS Control Tower によって統制される内容は Landing Zone のバージョンとして管理されており、2022年7月26日に Landing Zone の version 3.0 がリリースされていました。ここでは更新された内容から version 3.0 でどのように変わるかをまとめてみました。 AWS Control Tower 管理の CloudTrail がアカウントレベルの証跡から組織レベ
使用されていないAmazon EBSボリュームを削除してAWSのコストをコントロールする | Amazon Web Services
Amazon Web Services ブログ 使用されていないAmazon EBSボリュームを削除してAWSのコストをコントロールする 業界や業種を問わず、お客様にとってコスト管理は最優先事項の1つです。 EBSボリュームのライフサイクルの可視性が十分でないと、未使用のリソースに対してコストが発生する可能性があります。 AWSはコスト管理のサービスを提供しており、コスト情報へのアクセス、コストの理解、コストの制御、およびコストの最適化を行えるようにしています。 未使用、および管理が行き届いていないAmazon EBSボリュームは、AWS のコストに影響します。 EBSボリュームのライフサイクルは、Amazon EC2 コンピューティングインスタンスから独立して管理可能です。そのため、EBS ボリュームに関連付けられている EC2インスタンスが終了しても、EC2起動時に「終了時に削除」 オ
【全リージョン対応】CloudTrailのログをAthenaのPartition Projectionなテーブルで作る | DevelopersIO
CloudTrailのログを分析するためのAthenaテーブルを作る機会がありましたので、AthenaのPartition Projectionという機能を用いてリージョンごと・時系列ごとでパーティションを分割するように設定してみました。 今回はPartition Projectionについてざっくりおさらいして、CloudTrailのPartition ProjectionのサンプルDDLをご紹介します。 これまで CloudTrail画面から作成されるデフォルトのDDLを用いてAthenaでテーブルを作成して、 us-east-1 の結果を返すクエリを投げてみます。 デフォルトのDDL(クリックで展開) CREATE EXTERNAL TABLE cloudtrail_logs ( eventVersion STRING, userIdentity STRUCT< type: STRI
AWS CloudTrail - Qiita
1.AWS CloudTrailとは? 「いつ誰が何をしたのか」を記録しておいてくれるサービスです。 2.特徴 デフォルトでOnになっている。 90日間保存できる。(90日以上保存させる場合は、S3に保存させるようにする。) S3の保存先はS3でバージョンニングを有効にするか、クロスアカウントなどを利用することを検討する。 5分おきに作成される。 3.イベント履歴 「イベント履歴」をクリックしてみましょう。 CloudTrail はデフォルトで有効になっているため、今まで行ってきた「サインイン」や「IAM ユーザーの作成」などもすべてイベントとして記録されています。 このようにCloudTrail では何も設定しなくても、デフォルトで過去90日間のイベントが無料で記録されています。 今後もし「消した覚えがないのにサーバが跡形もなく消え去っている!」というようなことがあったら、先ずCloud
【Organizations】組織レベルで CloudTrailの証跡を有効化、S3バケットへ集約する | DevelopersIO
AWS Organizations はマルチアカウントの管理、統制に役立つサービスです。 それぞれの AWSアカウントを 組織単位(Organizational Unit: OU)に所属させ、 グループ化することができます。 組織単位で AWSのリソース設定や セキュリティの統制 が可能になります。 一方、 AWS CloudTrail は AWSに対して行った操作(マネジメントコンソール, CLI, SDKなど)の履歴: 証跡 を記録する機能です。 操作の履歴を S3バケットに保存することができます。 必要に応じて Amazon Athena(S3内のデータ分析を行うサービス) など使って ログを調査できます。 Organizations と CloudTrailの連携 で 組織内 全アカウントに一括で証跡を作成 することが簡単にできます。 実際にやってみます。 (準備) CloudTr
CloudTrail S3オブジェクトレベルログ、S3サーバーアクセスログ、どちらを使えば良いか?違いをまとめてみた | DevelopersIO
CloudTrail S3オブジェクトレベルログ、S3サーバーアクセスログ、どちらを使えば良いか?違いをまとめてみた CloudTrail データイベントのオブジェクトレベルのログ記録 | AWSドキュメント S3サーバーアクセスのログ記録 | AWSドキュメント 上記2つは両方とも S3オブジェクトに対しての操作を記録する 機能です。 「S3のログ記録機能」としては同じです。 どちらを使えばいいか、迷うことあると思います。 両者の違い、使い分けを整理してみました。 (以降 「CloudTrail データイベントのオブジェクトレベルのログ記録」を CloudTrail S3ログ 、 「S3サーバーアクセスのログ記録」を S3サーバーログ と呼びます) まとめ まずはじめに、まとめを載せます。 より安価なのは S3サーバーログ です。監査の参考やアクセスログ分析のために、まず検討しましょう
[アップデート] AWS Control Tower のランディングゾーンバージョン 3.0 がリリースされたので変更点を確認してみた | DevelopersIO
こんにちは、大前です。 Control Tower のランディングゾーンバージョン 3.0 がリリースされたので、実際にアップデートして変更点などを確認してみました。 参考 : AWS Control Tower landing zone version 3.0 バージョン 3.0 の変更点 リリースノート を確認すると、3.0 には以下の変更点が含まれている様です。 組織レベルの CloudTrail 証跡を選択するオプションの追加 Control Tower によって管理される CloudTrail 証跡をオプトアウト可能に CloudTrail の設定状況をチェックする 2つのガードレールが追加 グローバルリソースに関する AWS Config をホームリージョンに集約 リージョン拒否ガードレールの SCP 内容がアップデート 管理ポリシー AWSControlTowerServic
![[アップデート] AWS Control Tower のランディングゾーンバージョン 3.0 がリリースされたので変更点を確認してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/1486b2da4d87633e58aebde2114c02dc06f61935/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-control-tower.png)
Looking for Datadog logos? You can find the logo assets on our press page.
[アップデート]CloudTrailで高度なイベントセレクターがサポートされ、記録対象のデータイベントを絞ってコスパよく利用できるようになりました | DevelopersIO
こんにちは、臼田です。 みなさん、証跡管理していますか?(挨拶 今回はCloudTrailのアップデートにより、高度なイベントセレクターがサポートされたので紹介します。 AWS CloudTrail provides more granular control of data event logging through advanced event selectors 概要 CloudTrailはAWSのAPI実行履歴を記録するサービスです。 管理イベントとデータイベントをそれぞれ別々に選択して記録することが可能です。 管理イベントは通常記録されるもので、ほとんどのAWS操作が対象です。通常記録自体は無料です。複数記録設定を行うと別料金がかかります。 データイベントはS3オブジェクトへの操作やLambdaの実行が対象です。これらはいわゆるデータプレーンの処理として別枠で記録されます。これら
AWS CloudTrail は、CloudTrail Insights の新機能である CloudTrail ErrorRate Insights を発表しました。この機能により、お客様は API のエラーコードとそのエラー発生率に基づいて、AWS アカウントにおける異常な活動を特定することができます。 ErrorRate Insights は API の正常な動作パターンのベースラインとなる統計モデルを構築します。実際のエラー発生率とモデルを比較することで、エラーレートの急増をお客様に通知することができ、許可の更新やリソース制限の引き上げなどの改善アクションを講じることができます。 ErrorRate Insights は、お客様がしきい値を設定したり、高度な統計技術を理解しなくても動作します。エンドユーザーに影響を与える前に、お客様が問題を特定できるようにすることで、ErrorRat
AWS Identity and Access Management (IAM) により、AWS CloudTrail ログを表示するときに、IAM ロールによって実行される AWS アクションの担当者を簡単に特定できるようになりました。IAM ポリシーに新しいサービス固有の条件 sts:RoleSessionName を追加すると、IAM プリンシパル (ユーザーまたはロール) やアプリケーションが IAM ロールを引き受けるときに設定する必要があるロールセッション名を定義できます。AWS は、IAM ロールがアクションを実行するときに AWS CloudTrail ログにロールセッション名を追加するため、アクションを実行したユーザーを簡単に特定できます。 たとえば、製品の料金データを AWS アカウントの Amazon DynamoDB データベースに保存し、社内の別の AWS アカウ
メモ 以前取得したAWSの資格「クラウドプラクティショナー」に続き「ソリューションアーキテクトアソシエイト(SAA-C03)」取得を目指して勉強中! いつも何か勉強するときは基本的に書きながら覚えるのでここでアウトプットします。 有益な情報かどうかは不明(笑) AWSにおける運用支援サービス システムは作って終わりではない。 むしろ、世の中に公開してからが本番。 システム運用を安定的に行えるか、その上で利用者の声を聞き日々機能を改善していけるかなど、運用フェーズに入ってからが重要。 この運用フェーズを支援するサービスもAWSには存在する。 代表的なサービスは以下の2つ。 ・Amazon CloudWatch ・AWS CloudTrail CloudWatchは、定期的にAWSリソースの状態を取得し、問題がある場合はそれを運用者に通知するサービス。 何を「問題がある」とするかは、利用者側で
insightwatchのセキュリティチェックでオールグリーンを目指す(その2: CISベンチマーク ロギング編) | DevelopersIO
オペレーション部 江口です。 「insightwatchのセキュリティチェックでオールグリーンを目指す」シリーズの第2回です。 第1回はこちら insightwatchのセキュリティチェックでオールグリーンを目指す(その1: CISベンチマーク IAM設定編) 今回は「CIS 2. Logging」の対処を行なっていきます。名前のとおりログ周りの設定となります。 項目数は9項目と少ないのですが、きちんとログを取るため「全リージョンで設定を有効にする」という要件の項目が複数あり、対応はなかなか大変でした・・・ 最初のチェック結果 このパートの最初の結果は以下の通りです。9項目中注意4・重要3の指摘がありました。 以下、指摘事項の対処を行なっていきます。 CIS 2.2 CloudTrailログファイルの検証が有効化されていること CloudTrailのログファイルが変更や削除を検知する整合性
Define & manage GorillaStack real-time workflows to monitor AWS CloudTrail via Slack. Command and control GorillaStack automation from Slack. With ChatOps, you can be alerted, receive detailed information for each notification on demand without logging in to your cloud environment. Receive real-time alerts on suspicious CloudTrail events Notify the right user of each critical event Snooze and canc
AWS アカウントでの不正なアクティビティに関する問題の解決
作成した覚えがないリソースが AWS マネジメントコンソールに表示されます。自分の AWS リソースまたはアカウントが不正利用された可能性があるという通知を受け取りました。 簡単な説明 AWS アカウントで不正なアクティビティが疑われる場合に、そのアクティビティが不正であったかどうかを確認するには、次の手順を実行します。 アカウントで AWS Identity and Access Management ID によって実行された不正なアクションを特定します。 アカウントに対する不正なアクセスや変更を特定します。 不正なリソースの作成を特定します。 不正な IAM リソース (ロール、管理ポリシーなど) の作成や管理上の変更 (AWS Organization で作成された詐欺的な連結アカウントなど) を特定します。 その後、不正なアクティビティを確認できた場合は、この記事の「AWS アカウ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
冴えないAWS環境の育てかた α | DevelopersIO
AWS CISO からの セキュリティに関する 10 個のアドバイス - おれさまラボ
[AWS]監査ログを悪意ある削除から守る | DevelopersIO
AWSでマルチアカウントするならControl Towerなのか?
AWS CloudTrail ログをモニタリングするためのベストプラクティス
AWS CloudTrail が ErrorRate Insights を発表
IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定
【AWS】SAA資格取得のための学習用備忘録(運用支援サービス) - ポンサラの逆襲
AWS CloudTrail Listener for Slack - GorillaStack