CloudTrail の 「region-PaidEventsRecorded」について

こんにちは。
テクサポの大森です。

CloudTrail の使用タイプ「region-PaidEventsRecorded」の料金が増加した！というお問い合わせをよく受けるので、
ポイントをまとめてみました。

■ CloudTrail の料金で発生している使用タイプ「region-PaidEventsRecorded」って何？

CloudTrail 証跡を作成すると、発生する管理イベントのコピーを S3 バケットへ配信できます。
こちらは1つ目までは無料でコピーできますが、2つ目以降は有料となります。
1つ目は使用タイプ「region-FreeEventsRecorded」として計上され、 2つ目以降が使用タイプ「region-PaidEventsRecorded」として計上されます。[1][2]

■ 1つ目無料、2つ目以降有料ってどういうこと？

例えば以下のように証跡の設定が2つ存在するとします。

・証跡：omori1 証跡ログの場所：s3-omori1 管理イベント設定：有　マルチリージョンの証跡：はい
・証跡：omori2 証跡ログの場所：s3-omori2 管理イベント設定：有　マルチリージョンの証跡：いいえ （東京リージョン）

上記の状態で東京リージョンで操作を実施し、CloudTrail のイベントが発生した場合
・s3-omori1 バケットにはイベントの1つ目のコピーが配信され、「APN1-FreeEventsRecorded」が計上されます。
・s3-omori2 バケットにはイベントの2つ目のコピーが配信され、「APN1-PaidEventsRecorded」が計上されます。

上記の状態で大阪リージョンで操作を実施し、CloudTrailのイベントが発生した場合
・s3-omori1 バケット にはイベントの1つ目のコピーが配信され、「APN3-FreeEventsRecorded」が計上されます。
・証跡：omori2 は東京リージョンのみなので、s3-omori2 バケットにイベントのコピーは配信されません。

■ 「region-PaidEventsRecorded」の費用を下げるにはどうしたらいい？

重複した証跡の記録を停止もしくは削除することで「region-PaidEventsRecorded」の発生は停止します。

■ そもそも「region-PaidEventsRecorded」の元となる管理イベントは何のサービス起因で発生しているの？

証跡ログが配信されている S3 バケットを Athena でクエリすることでサービスを特定することが可能です。[3]
料金が増加した期間を特定できている場合はログファイルの期間を絞ることも検討してください。[4]

■ 参考

1.AWS Cost Explorer を使用した CloudTrail のコストと使用状況の表示
2.CloudTrail 証跡のコスト管理
3.Athena テーブルクエリを使用して CloudTrail ログを検索する
4.CloudTrail 証跡から Athena テーブルを作成する際に対象となるログファイルの期間を調整する方法

■ 最後に

証跡が重複していることで予期せぬコストが発生することがあります。
重複した証跡がある場合は記録の停止・削除をご検討ください。
この記事がどなたかのお役に立てば幸いです。