【AWS初心者】IAM ユーザーの作業ログを記録しよう!【CloudTrail】

  • このエントリーをはてなブックマークに追加
  • LINEで送る

こんにちは、0371です。

今回は、AWS IAM の操作ログを記録する設定をしていこうと思います。

CloudTrail を使用することによって、AWS S3 にログを記録します。

操作ログの記録によって、不正に設定が書き換えられてしまってもすぐに気が付く可能性が高くなります。

セキュリティーにも繋がることなので、ぜひ設定しておきましょう!

スポンサーリンク

【AWS CloudTrail – 設定編】

IAM ユーザーを作成していることが前提となりますので、まだの方はこちら↓

【AWS】IAM の設定、していますか?【ルートユーザーのままはやばい】

 

ログが保存される流れは

  1. IAM ユーザーが何かを操作する
  2. CloudTrail が操作を検知し、ログを出力する
  3. S3に操作ログが記録される

となります。

CloudTrail は無料ですが、S3に若干の課金が必要になります。(1年間の無料枠なら課金不要)

※クラウドトレインではありません、クラウドトレイルです。たまに間違えちゃうわ〜。(白目)

 

では、設定をしていきましょう。

まずはAWSマネジメントコンソールにアクセスし、サービスの検索窓に「CloudTrail」と入力し、候補をクリックします。

 

すると CloudTrail の画面に遷移するので、「証跡の追加」をクリック。

 

ここでは、証跡名を入力したら、データイベントのところまでスクロールします。

管理イベントは全ての操作ログを取っておいた方が安心なので、初期設定のままにします。

Insights イベントに関しては、API を扱うなら必要かもしれませんが、追加課金されるようなので、ここでは設定しません。

証跡の設定1

 

データイベントのところでは、まずバケット名のところにチェックをします。

新しい S3 バケットを作成で「はい」が選択されていることを確認し、バケット名を入力します。

S3 バケットの名前はユニークなものである必要がありますので注意してください。(他のバケット名と重複しちゃダメ)

その後、バケット名入力欄の下にある「詳細」クリックして「ログファイル配信のたびに SNS を受け取る」かどうかを決めてください。

これは任意で大丈夫ですが、セキュリティー的には「はい」にした方が安心でしょう。

 

その下にあるタグは、IAM ユーザーの時と同じく、「バックエンド」とか「フロントエンド」とかで識別するためのタグです。

今回は空欄でOKです。

そのまま「証跡の作成」をクリックします。

証跡の設定2

 

すると CloudTrail の最初の画面に遷移します。

そこで、S3バケットのリンクをクリックすることで、操作ログを確認することができます。

S3にアクセス

 

リンク先のS3バケットの中身を見てみましょう。

「リージョン名」→「年」→「月」→「日」の順番でディレクトリが展開されます。

その後「.json.gz ファイル」が保存されているので、それをクリックすると、操作ログの内容を見ることができます。

logの場所

 

これで、CloudTrail と AWS S3 を活用した操作ログの保存ができるようになりました!!!

 

【まとめ – 操作ログがあると安心!】

誰がどんな操作をしたのかを自動的に記録してくれるのは安心できますね。

これはチームで開発するときなどに真価を発揮しそうです。

それと、不正なハッキングを受けてしまった時も気付きやすくなるかなと思います。

適切な権限を付与して、操作ログを取れば、プロジェクトを管理しやすくなるでしょう。

少し手間ではありますが、不正な請求を防ぐためにも今すぐ設定してくださいね!

 

まだ CloudWatch の設定をしていない方は、請求金額をメールによるアラートで教えてくれるサービスをぜひ活用しましょう。

【AWS】利用料金の請求地獄を事前に回避する方法【CloudWatch】 

  • このエントリーをはてなブックマークに追加
  • LINEで送る