バケットポリシーに変更があった事を検知するCloudWatchアラームを作成してみた

バケットポリシーに変更があった事を検知するCloudWatchアラームを作成してみた

#Amazon CloudWatch
#AWS
カトアキ

カトアキ

facebook logohatena logotwitter logo
Clock Icon2020.09.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

先日執筆したブログを作成する際に、バケットポリシーに変更があった事を検知するCloudWatchアラームを作成したので、その手順を記事化しておくことにしました。

CIS AWS Foundations Benchmarkの3.8に対応したCloudWatchアラームで特定のユーザのみ検知条件から外す

やってみたこと

1. テスト用のバケットを作成

今回のテスト用に、S3で新しいバケットを作成します バケット名は katoaki-test-bucket-policy にしました

2. CloudTrailの証跡を作成

作成したバケットのログをCloudWatchロググループへ出力させるために、CloudTrailの設定を行います。 なお、出力するロググループはデフォルトの CloudTrail/DefaultLogGroup にします。

  • CloudTrailのダッシュボード上から「証跡の作成」を選択して新しい証跡を作成

  • 証跡情報の作成、データイベント、ストレージの場所のセクションでそれぞれの値を設定して証跡を作成する(設定した箇所以外はデフォルト)

設定値

項目名 値(例)
証跡情報の作成 > 証跡名 katoaki-test-bucket-policy-test
データイベント > バケット名 katoaki-test-bucket-policy
ストレージの場所 > S3バケット katoaki-test-bucket-policy-trail
CloudWatch Logs CloudTrail/DefaultLogGroup

画面イメージ

3. ログを発生させる

テスト用バケットでバケットポリシーを変更し、ログを発生させます。

  • テスト用バケットのブロックパブリックアクセスをオフにする

※この設定はパブリックアクセスを許可するものです。一時的であっても、外部からアクセスされて困るようなオブジェクトをバケット内に配置しないように注意してください。

  • テスト用バケットのパケットポリシーを次のように設定する

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublicRead", "Effect": "Allow", "Principal": "", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::katoaki-test-bucket-policy/" } ] }

4.メトリックフィルタの作成

  • CloudTrailに設定したロググループを開いて、「メトリクスフィルターの作成」を選択します

  • フィルターパターンに以下を設定します

{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}

  • フィルター名、その他の設定値を記述して「Next」を選択します。
項目名 値(例)
フィルター名 katoaki-test-bucket-policy-metric-filter
メトリクス名 S3BucketPolicyChanges
メトリクス名前空間 katoaki-test
メトリクス値 1

5. SNSトピックの作成

  • トピックを新規作成して、名前と表示名を設定します
項目名 値(例)
名前 katoaki-test-bucket-policy-topic
表示名 katoaki-test-bucket-policy-topic

6. CloudWatchアラームの作成

  • 「アラームの作成」で新しいアラームを設定する画面へ遷移します
  • 「メトリクスと条件の指定」画面で、[メトリクスの選択]-[katoaki-test]-[ディメンジョンなしのメトリクス]と辿り、「S3BucketPolicyChanges」のメトリクスにチェックを入れて「メトリクスの選択」をクリックします

メトリクスの選択後は、統計単位や期間などの設定を次の通り行います。

項目名 値(例)
統計 合計
期間 1分
アラーム条件 以上
しきい値 1

  • 「アクションの設定」画面で、手順5で作成したトピックを設定します

  • 「名前を説明を追加」画面でアラーム名を設定します

  • 「プレビューと作成」画面で最終確認して、「次へ」を選択してアラームの作成を完了します

7. 動作確認

テスト用バケットのバケットポリシーを何度か変更して、アラームの状態が変わることを確認します。 EffectをDenyに変更したり、Resourceのパスを変更したりしてみます。 その後、作成したアラームが「アラーム」状態になることを確認します

  • 「3. ログを発生させる」のセクションで設定したバケットポリシーを変更して、パブリックアクセスを拒否にする場合の設定

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublicRead", "Effect": "Deny", "Principal": "", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::katoaki-test-bucket-policy/" } ] }

画面イメージ

このように「アラーム」の状態になることを確認します

参考にしたサイト

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] Amazon CloudWatch がオブザーバビリティソリューションを提供開始しました

[アップデート] Amazon CloudWatch がオブザーバビリティソリューションを提供開始しました

User avatar
和田響
2024.11.16
[アップデート] Amazon CloudWatch Synthetics の各 API に追加された ProvisionedResourceCleanup 属性の挙動を調べてみた

[アップデート] Amazon CloudWatch Synthetics の各 API に追加された ProvisionedResourceCleanup 属性の挙動を調べてみた

User avatar
いわさ
2024.11.09
CloudWatch Synthetics API Canaryを作成した際にエラーが表示され作成できない、対処方法を教えて下さい

CloudWatch Synthetics API Canaryを作成した際にエラーが表示され作成できない、対処方法を教えて下さい

User avatar
Lei
2024.11.06
Amazon CloudWatch で EBS の I/O レイテンシーを確認できるようになりました

Amazon CloudWatch で EBS の I/O レイテンシーを確認できるようになりました

User avatar
大村 保貴
2024.11.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.