【レポート】AWS Summit Tokyo 2017:AWS のガバナンス入門 (AWS CloudTrail, AWS Config) #AWSSummit

【レポート】AWS Summit Tokyo 2017:AWS のガバナンス入門 (AWS CloudTrail, AWS Config) #AWSSummit

Clock Icon2017.06.03

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

aws-summit-tokyo-2017-longlogo

ご機嫌いかがでしょうか、豊崎です。

昨日まで開催されていたのAWS Summit Tokyo、当エントリでは2017年06月2日に行われたAWS Techトラック3:AWS のガバナンス入門 (AWS CloudTrail, AWS Config)についてレポートします。

セッション概要

当セッションの登壇者及び概要は以下の通りです。 http://www.awssummit.tokyo/summit/index.html

スピーカー:
市崎 洋平
アマゾン ウェブ サービス ジャパン株式会社
技術統括本部 パートナーソリューションアーキテクト

クラウド利用において、いつ・誰が・何を・どのように操作したかという情報を常に漏れなく収集し続けることは、 ガバナンスやコンプライアンス、各種監査の観点から極めて重要な事項です。AWS ではこれらのためのサービスとして「AWS CloudTrail」や「AWS Config」を提供しており、これらを活用することで極めて安価にかつ迅速に実現可能です。本セミナーではそれらの概要をご紹介します。

セッションレポート

本セッションの目的

  • AWSの操作管理の重要性
  • 操作管理ををどのように実現可能か?

本セッションで取り扱うガバナンス

ガバナンスの対象はITシステム

  • 手段
    • 記録をとる
    • 振り返る
    • ルールを適用する
  • 狙い・実現できること
    • 監査
    • 秩序
    • 事故防止

オンプレミスにおけるガバナンスの課題

  • 記録をとる
    • 人手、プロセス
      • ヒューマンエラー
    • 精度
  • 振り返る
    • 網羅性
    • 検索性
      • 問題を追跡できない
  • ルールを適用する
    • 徹底が困難である
      • 抜け漏れ
      • 例外の発生
      • 手順の複雑性

AWS操作するということ

  • ITシステム環境を手に入れる方法
    • オンプレ
      • ベンダーに依頼
      • DCが必要
      • 人での作業、依頼
    • AWS
      • 自分で用意できる
      • AWSマネージメントコンソールから操作
      • API

AWSの操作はOSの運用管理に似ている。
=>OSの運用管理の概念を流用可能

AWSには操作管理を支援する機能がある

  • AWS CloudTrail
  • AWS Config、AWS Config Rules

オンプレミスとAWSの差

  • 操作の自由度
    • オンプレ
      • 即座に物理機器を変更できない
      • 即座に構成を変更できない
    • AWS
      • 即座にリソースを変更できる
      • 即座に構成を変更できる

即座に変更が可能であるがゆえ、AWSリソースの操作管理は重要

AWSリソースの操作管理とは

  • 記録
    • AWS CloudTrail
    • AWS Config
      • 全て、自動的に取得
      • ユーザ・サービスごと
  • 振り返る
    • AWS CloudTrail
    • AWS Config
      • 全て、自動的に取得
      • 全件検索可能
  • ルールを適用
    • Organizations
    • IAM
    • AWS Config Rules
      • 徹底が容易

時系列で見る

  • CloudTrailで取得可能
    • ユーザが実施した変更
  • AWS Configで取得可能
    • 変更されたリソース
  • IAM Organizations
    • 設定した権限でのみ操作可能
  • AWS Config Rules
    • ルールから外れた状態に対して警告

CloudTrailとは

  • だれが、何に対して、いつ、変更したかを全て記録
  • AWSユーザの操作(API)をロギング
    • ログはS3に保存
    • 暗号化可能
    • 改ざん防止機能
  • コスト
    • CloudTrail利用は無料(S3/SNSの利用費は必要)

CloudTrailで取得できるイベント

  • APIイベント
  • APIでないインベント
    • AMCログイン、AWSディスカッションフォーラム

ログの活用方法

  • 短期的
    • 通知
      • CloudWatch+SNSと連携
  • 中期的
    • 文字列検索
      • CloudTrail API Lookup
  • 長期的
    • 可視化、傾向分析などに利用
      • CloudWatchLogs ElasticsearchServiceの連携による検索

CloudTrail有効化のベストプラクティス

東京リージョンだけでなく、すべてのリージョンで有効にすることがベストプラクティス!

AWS Configとは

何に対して、誰が、いつ、なにをしたか、を全て記録 - AWSリソースの構成変更をロギング - 履歴も保存 - ログはS3に保存 - あるべき状態の評価(Rules) - コスト - 記録される設定項目につき0.003USD

AWS Config 動作イメージ

構成変更=>記録(AWSConfig)=>変更・更新=>ストリーム、ヒストリー、スナップショット

対応サービス

  • ACM
  • CloudTrail
  • CloudWatch
  • EBS
  • EC2
  • EC2 Systems Manager
  • ELBv2
  • IAM
  • Redshift
  • RDS
  • S3
  • VPC

TerminateしたEC2インスタンスも確認可能

AWS Config Rulesとは

準拠すべきルールを事前に設定=>ルールに剃った構成変更が行われているかを評価

  • ManagedRules
    • AWSで準備していあるルール
  • CustomRules
    • 独自に作成することができるルール

ルール評価実行のタイミング

  • Event-based Evaluations
    • 関連リソースが作成、変更された際
  • Periodic Evaluation
    • 任意のタイミング
    • AWSConfigがスナップショットをとる際

感想

本セッションでは、AWS CloudTrailとAWS Config(Rules含む)にフォーカスした説明が行われました。 ITガバナンスにおける、記録、検索性、ルールの適用の重要性を再認識するセッションでした。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.