CloudWatch Logsの機密情報保護をCloudFormationで設定する #reinvent

CloudWatch Logsの機密情報保護をCloudFormationで設定する #reinvent

Amazon CloudWatch Logsの機密情報保護をCloudFormationで設定してみました。 実際に運用する場合に役立つと思います。
AWS re:Invent 2022

AWS re:Invent 2022

#CloudWatch Logs
#Amazon CloudWatch
#AWS CloudFormation
#AWS
藤井元貴

藤井元貴

facebook logohatena logotwitter logo
Clock Icon2022.12.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Amazon CloudWatch Logsで、機密情報を保護できるようになりました。

本記事では、CloudFormationでデータ保護を設定してみました。

おすすめの方

  • Amazon CloudWatch Logsのデータ保護機能をCloudFormationで利用したい方

CloudFormationテンプレート

適当なロググループと動作確認用のIAMロールを作成します。 動作確認用のIAMロールには、logs:Unmask権限がありません。

なお、指定するARNは次のドキュメントを参照してください。

AWSTemplateFormatVersion: '2010-09-09'

Parameters:
  LambdaLogGroupNamePrefix:
    Type: String
    Default: /aws/lambda

Resources:
  TestFunctionLogGroup:
    Type: AWS::Logs::LogGroup
    Properties:
      LogGroupName: !Sub ${LambdaLogGroupNamePrefix}/test-2022-12
      DataProtectionPolicy:
        Name: test-2022-12-data-protection-policy
        Version: 2021-06-01
        Statement:
          - DataIdentifier:
              - arn:aws:dataprotection::aws:data-identifier/EmailAddress
            # 監査結果の送信は設定しない
            Operation:
              Audit:
                FindingsDestination: {}
          - DataIdentifier:
              - arn:aws:dataprotection::aws:data-identifier/EmailAddress
            # 監査結果の送信は設定しない
            Operation:
              Deidentify:
                MaskConfig: {}

  # 動作確認用のIAMロール
  CloudWatchReadOnlyMaskRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: cloudwatch-read-only-mask-role
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Action: sts:AssumeRole
            Principal:
              AWS:
                - !Sub ${AWS::AccountId} # 実際には最小限なAssumeRole元を指定してください。
      Policies:
        - PolicyName: cloudwatch-read-only-mask-policy
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - logs:DescribeLogGroups
                  - logs:DescribeLogStreams
                  - logs:GetLogEvents
                  # - logs:Unmask   設定しない
                Resource: "*"

デプロイ

aws cloudformation deploy \
    --template-file logs.yaml \
    --stack-name CloudWatch-Data-Protection-Test-Stack \
    --capabilities CAPABILITY_NAMED_IAM \
    --no-fail-on-empty-changeset

メールアドレスをロググループに送信し、マスク表示を確認する

CloudWatchに対する全権限を持っているユーザ(IAMロール)で操作します。

作成したロググループに適当なログストリームを作成し、テスト用のログイベントを送信します。

CloudWatch Logsにテスト用イベントを送信する

CloudWatch Logsにテスト用イベントを送信する(メールアドレス)

メールアドレスがマスク表示されました。

CloudWatch Logsのメールアドレスがマスク表示された

動作確認

unmask権限がある場合、メールアドレスが表示される

「Temporarily unmask protected data」を選択します。

CloudWatch Logsのマスクを解除してみる

マスクが解除されて、メールアドレスが表示されました。

CloudWatch Logsのマスクが解除されて、メールアドレスが表示された

unmask権限がない場合、メールアドレスが表示されない

動作確認用のIAMロールに切り替えて、同様の操作をおこないます。

結果は表示されませんでした。

CloudWatch Logsでマスク解除できない(権限がない)

すべてがmaskされたログの場合は、一時的に表示が消えるみたいです。 再読み込み(リロード)すると「****」が表示されます。

さいごに

Amazon CloudWatch Logsの機密情報保護をCloudFormationで設定してみました。 実際に運用する場合に役立つと思います。

参考

Share this article

facebook logohatena logotwitter logo

関連記事

[Terraform]Aurora MySQLのログ出力先ログクラスをInfrequent Accessにしてみた

[Terraform]Aurora MySQLのログ出力先ログクラスをInfrequent Accessにしてみた

User avatar
神野 雄大
2024.10.29
Can wildcards be used to specify log groups in the CreateExportTask API for CloudWatch Logs?

Can wildcards be used to specify log groups in the CreateExportTask API for CloudWatch Logs?

User avatar
Nakamura Makoto
2024.10.29
AWS CLI を用いて Amazon CloudWatch Logs ロググループのタグ値を一括変更してみた

AWS CLI を用いて Amazon CloudWatch Logs ロググループのタグ値を一括変更してみた

User avatar
yhana
2024.10.25
[アップデート] AWS Lambda コンソール上でそのまま CloudWatch Logs の Live Tail 機能が使えるようになりました

[アップデート] AWS Lambda コンソール上でそのまま CloudWatch Logs の Live Tail 機能が使えるようになりました

User avatar
いわさ
2024.10.19
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.