この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちはAWS事業本部コンサルティング部のこーへいです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です
[CodeBuild.4] CodeBuild project environments should have a logging configuration
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、CodeBuildプロジェクト環境でS3またはCloudWatchログが有効になっているログオプションが、少なくとも1つあるかどうかをチェックします。CodeBuildプロジェクト環境で少なくとも1つのログオプションが有効になっていない場合は、このコントロールは失敗します。
修復手順
Security Hubでは、S3かCloudWatchの少なくともどちらか1つにログ出力することを推奨しています。
そのため今回は既に作成済みのCodeBuildを対象に(CodeBuildを新規作成する場合も、途中以下と同様の設定箇所があります)、S3とCloudWatch両方を設定する手順を紹介します。
- マネジメントコンソール画面より、CodeBuild > ビルドプロジェクト > 対象ビルドプロジェクトの選択 > ビルドの詳細 > ログの順に遷移してください。
- 「ログを編集」にて下記の通り設定し、ログの更新を行う。
| フィールド名 | 設定値 | 備考 |
|---|---|---|
| CloudWatch Logs | 有効化※ | 有効化にした場合、CloudWatch LogsにCodeBuildのログが出力されます ※Security Hubの修復の為にはS3かどちらかのみの有効化で修復されます |
| グループ名 | 任意 | CloudWatch Logsに出力するロググループ名を設定 |
| ストリーム名 | 任意 | CloudWatch Logsに出力するログストリーム名を設定 |
| S3 ログ | 有効化※ | 有効化にした場合、S3にCodeBuildのログが出力されます ※Security Hubの修復の為にはCloudWatch Logsかどちらかのみの有効化で修復されます |
| バケット | 任意 | ログを出力するS3バケットを選択 |
| パスのプレフィックス | 任意 | 出力するS3バケットへのパスのプレフィックスを設定 |
| S3 ログの暗号化を無効にする | 任意 | S3ログの暗号化を無効にする場合に選択 |
| AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする | 任意 | 現在使用中のIAMロールにCloudWatchやS3にログを出力する為に必要なポリシーを付与する |
以上で完了です。今回の手順ではS3とCloudWatchの両方を有効化しましたが、片方のみでもSecurity Hubの修正は行えます。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、こーへいでした!
2
