【アップデート】CloudTrail初期設定時にS3のデータ操作ログ取得やイベントセレクタの設定ができるようになりました!(既設定者向け内容も記載)

CloudTrail

地味サービス(褒め言葉)大好き森永です。

皆さん、CloudTrailを使っているでしょうか。
恐らく、かなりの人がお使いになっていると思いますが、その設定古くなっていませんか?

昨年末にアップデートがあり、CloudTrailでS3のデータ操作ログを取れるようになっています。
こちらを設定しないとS3にファイルを置く、取得する、削除するなどのイベント履歴はとれません。

また、イベントセレクタという一種のフィルタも機能追加されています。
詳しくは以下ブログを御覧ください。

【新機能】CloudTrailでS3オブジェクトレベルのアクセスをロギングする

既にCloudTrailを有効にしているよ、という方は是非一度設定をご確認下さい。

そして今回は、まだCloudTrailを有効化していないよ、という方向けの記事です。
今までのCloudTrailの初期設定では上記のような設定はできず、一回設定してから設定を加えるという二度手間をしなければなりませんでした。
今回のアップデートで初期設定の段階で上記の設定をできるようになりました!

地味ですねー!!

AWS CloudTrail Enhances Configuration Setup

試してみる

CloudTrailを設定していない場合、CloudTrailの管理画面へ行くとGet Started画面が出ると思います。
「Get Started Now」から設定画面に遷移します。

CloudTrail_Management_Console 6

こちらが新しくなったCloudTrailの設定画面です。

CloudTrail_Management_Console

上から順に説明をしていきます。

まず、「Trail name」にてTrailの名前を入力します。
こちらは任意の文字列で構いません。
また、「Apply trail to all regions」でYesを選択すれば、一つのリージョンで全てのリージョンのTrailを追跡できるようになります。
リージョン間転送量による課金がありますが、他のリージョンをほぼ使わないのであればこちらYesにしても問題ないかと思います。(使わないんだからOFFでいいだろう、という意見もあるかと思いますが、使わないはずのリージョンで意図せぬ操作がないかを確認できることは非常に重要です。)

CloudTrail_Management_Console 2

次にマネジメントイベントのイベントセレクタを設定します。
Describe*List*などの参照系の操作は「Read-only」、Create*などの作成系の操作は「Write-only」で記録することが可能です。どちらもであれば「All」を指定して下さい。
参照権限まで記録する必要がないということであれば(参照を含めると膨大な量になる可能性があります。)「Write-only」を指定しておくのがよいかと思います。

CloudTrail_Management_Console 3

次が今回追加されたS3操作ログをとるためのデータイベントのセクションです。
操作を記録するバケット名を指定し、こちらでもイベントセレクタを指定します。
バケット毎にイベントセレクタの指定は変えられますので、バケットの重要度に応じてご設定下さい。(例えば、個人情報のような参照されたらまずいデータがあるバケットは参照記録もとる、それ以外はWriteのみ取得するなど)

CloudTrail_Management_Console 4

最後にどのバケットにログを記録するかを設定します。
ここは今まで通りなので問題ないですね。

CloudTrail_Management_Console 5

以上で、CloudTrailの設定は終わりです。

最後に

CloudTrailのログが無いと、何かあった時に本当に困ります。
何もなければ見ないので要らないという方もいらっしゃるかもしれませんが、何か起きてからでは遅いのです…
出来れば今すぐに設定されることをお勧めいたします。

ちなみに、弊社メンバーズでは、CloudTrailの設定は全アカウントで設定させていただいております。
CloudTrailのログを活用したいなどのご要望も受け付けておりますのでお気軽にお問い合わせ下さい。