[アップデート] Amazon WorkMail で監査ログを出力出来るようになったので有効化してみた
いわさです。
Amazon WorkMail は電子メールおよびカレンダーのマネージドサービスです。
今朝のアップデートで監査ログがサポートされました。
これまで出来なかったのかとちょっと驚きましたが、電子メールのイベントログについてはこれまでもサポートされていました。
今回監査ログがサポートされたことで、WorkMail の利用者の利用状況の把握や、トラブルシューティングに役立てることが出来そうです。
私は検証用にカスタムドメインの WorkMail 環境を使っています。
今回監査ログを有効化してみましたので手順やログの出力状況など、紹介したいと思います。
監査ログ
従来のイベントログは電子メールの利用アクティビティを記録することが出来ます。
一方で今回の監査ログはメールボックスへのユーザーのアクセスの監視、不審なアクティビティの監査など WorkMail 全体の監査を目的としたものとなっています。
設定画面を見てみると、ログの種別を確認することが出来ます。
「Logging settings」メニューから「Audit log settings」を確認します。
イベントログと同様に、デフォルトは OFF になっています。
次のようにログ種別ごとに出力先を設定することが可能です。
- Access Control logs
- Authentication logs
- Availability Provider logs
- Mailbox Access logs
また、それぞれのログごとに出力先としては以下が設定可能です。
- CloudWatch Logs
- S3(クロスアカウントも設定可能)
- Data Firehose(クロスアカウントも設定可能)
監査ログ有効化方法
監査ログ有効化は上記メニューから Audit log settings へ遷移し、出力先を設定します。
各ログごとに複数の出力先を設定することが可能です。
ただし、同タイプの出力先を同一ログタイプに設定することは出来ないようで、例えば上記では Atuhentication logs に Amazon S3 を設定しているのですが、追加で S3 は設定出来ず、以下のように CloudWatch Logs と Data Firehose を追加することは出来ます。
また、特定のログタイプに出力先を設定した後に「Apply to all log types」を押下することで、全てのログタイプへ同一の出力先設定を展開することが可能です。
これは便利。上書きしちゃわないように気をつけましょう。
必要なポリシーは自動設定される
リソースベースポリシーやバケットポリシーなど、ログ出力先に必要なポリシーは監査ログを有効化したタイミングで自動で設定されます。
例えば次のように新しく作成した S3 バケットを出力先に指定してみます。
そうすると、次のように WorkMail の配信元からのs3:PutObject
を許可するようなポリシーが設定されました。自動で設定してくれるのは便利ですね。
設定してみた
今回は監査ログを CloudWatch Logs へ出力させてみます。
設定すると次のように「Delivery active」としてステータスが表示されるようになりました。
WorkMail 側に既にユーザーアカウントは存在している状態なので、色々と操作やらメール送受信などを行ってみます。
その後、出力先に指定した CloudWatch Logs のロググループを確認してみると、次のようにログストリームがいくつか作成されていました。
ロググループのサフィックスでログタイプを判断出来そうです。
ロググループのプレフィックは WorkMail の Organization ID が使われていそうですね。
ということはユーザーごとではなく、組織ごとに同一ストリームに出力される動きとなるようです。
CloudWatch Logs Insights で確認してみました。
action から create, read, update などの操作が確認でき、アクセス元の IP アドレスや UA などが確認出来ますね。利用者の証跡を残すような使い方が出来そうです。
さいごに
本日は Amazon WorkMail で監査ログを出力出来るようになったので有効化してみました。
非常に有効化は簡単ですし、機能自体も無料(出力先サービスの利用料金は必要)なので、東京リージョンがまだ WorkMail が対応していないので日本で利用されている方はまだ少なそうですが、管理者の方は是非有効化してみてください。