type
status
date
slug
summary
tags
category
icon
password
理論
AWS CloudTrailとマルチアカウント管理
1. AWS CloudTrailとは
AWS CloudTrailは、AWSアカウント内の操作(APIコールや管理イベント)を記録し、コンプライアンス監査やセキュリティ分析に利用できるサービスです。
主な特徴
- イベントの記録: すべてのAWSサービスのAPIコールや操作ログを記録。管理イベントやデータイベントに対応。
- 保存先: ログはAmazon S3に保存し、必要に応じてAmazon CloudWatch Logsに送信可能。
- 監査と可視性: 不審な操作や誤設定を迅速に検知。コンプライアンス要件を満たすために有効。
用途
- セキュリティ分析
- コンプライアンス監査
- 問題解決(トラブルシューティング)
2. マルチアカウント環境でのCloudTrailの設計
AWS Organizationsを活用することで、複数アカウント環境でCloudTrailを効率的に管理できます。
推奨パターン
- 管理アカウントに統一的なトレイルを作成:
- 管理アカウントで1つの組織全体のトレイルを作成し、すべてのメンバーアカウントの操作を記録します。
- 利点: 中央集約型で運用負荷が低い。新しいアカウントの追加にも自動対応。
- 設定手順:
- AWS Organizationsで「組織全体のイベント」を有効化。
- 管理アカウントからCloudTrailトレイルを作成し、「すべての組織メンバーアカウントを含める」を選択。
SCP(サービスコントロールポリシー)の活用
- CloudTrailの削除や変更を防止するため、以下のようなSCPを適用:
3. ベストプラクティス
- ログの暗号化: CloudTrailログはAWS KMS(Key Management Service)で暗号化し、データの安全性を確保。
- 監視の強化: Amazon CloudWatch Logsと統合し、特定の操作(例: IAMユーザーの作成やS3バケットの削除)をアラートで通知。
- ストレージコスト管理: Amazon S3バケットのライフサイクルポリシーを使用して、古いログをアーカイブまたは削除。
4. イベント管理にEventBridgeの活用
AWS EventBridgeを使用して、CloudTrailイベントをリアルタイムで処理可能。
- 例: 不審な操作を検知して自動的にアクションを実行(例: セキュリティグループをリセット)。
結論
AWS CloudTrailとAWS Organizationsを組み合わせた設計は、マルチアカウント環境での運用負荷を大幅に軽減します。特に、組織全体のトレイルを管理アカウントで集中管理する方法が効率的です。
実践
略
一問道場
質問 #475
ある企業がオンプレミスのデータセンターからAWSクラウドへの移行を計画しています。この企業は、AWS Organizationsで管理される複数のAWSアカウントを使用する予定です。最初は少数のアカウントを作成し、必要に応じてアカウントを追加していきます。
ソリューションアーキテクトは、すべてのAWSアカウントでAWS CloudTrailを有効にするソリューションを設計する必要があります。
最も運用効率が高く、要件を満たすソリューションはどれですか?
A.
AWS Lambda関数を作成し、組織内のすべてのAWSアカウントで新しいCloudTrailトレイルを作成します。
Amazon EventBridgeでスケジュールアクションを使用してLambda関数を毎日呼び出します。
B.
組織の管理アカウントで新しいCloudTrailトレイルを作成します。
このトレイルを、組織内のすべてのAWSアカウントのすべてのイベントをログに記録するように設定します。
C.
組織内のすべてのAWSアカウントで新しいCloudTrailトレイルを作成します。
新しいアカウントが作成されるたびに新しいトレイルを作成します。
トレイルの削除や変更を防止するSCP(サービスコントロールポリシー)を定義します。
このSCPをルートOUに適用します。
D.
AWS Systems Manager Automationランブックを作成し、組織内のすべてのAWSアカウントでCloudTrailトレイルを作成します。
Systems Manager State Managerを使用してAutomationを呼び出します。
解説
この問題では、複数のAWSアカウントに対して効率的にAWS CloudTrailを有効にするソリューションを設計する必要があります。それぞれの選択肢について解説し、最適な解決策を示します。
A. Lambda + EventBridgeでCloudTrailを毎日設定
- 解説:
- Lambda関数を使用してすべてのアカウントにCloudTrailトレイルを作成する方法。EventBridgeで毎日関数を実行してトレイルが有効か確認します。
- 欠点: 新しいアカウントが作成されるたびに手動で設定を更新する必要があります。また、毎日Lambdaを実行するのは効率が悪いです。
- 評価: 運用効率が低いため、適切ではありません。
B. 管理アカウントに統一的なCloudTrailを作成
- 解説:
- AWS Organizationsの管理アカウントで1つのCloudTrailトレイルを作成し、すべてのメンバーアカウントのイベントをログに記録します。
- 利点:
- 中央集約型の管理が可能で、複数アカウントのトレイルを一元化。
- 運用効率が高く、新しいアカウントが自動的にログ記録対象になります。
- 欠点: 組織全体のトレイルを管理アカウントで管理するため、すべてのログを1箇所に保存する必要があります(ストレージコストが増加する可能性)。
- 評価: 最も効率的で簡単な解決策です。
C. 各アカウントに個別のCloudTrailトレイルを作成
- 解説:
- 組織内のすべてのアカウントに個別のトレイルを作成し、新しいアカウントが作成されるたびにトレイルを追加します。SCP(サービスコントロールポリシー)でトレイルの変更や削除を防ぎます。
- 欠点:
- 各アカウントごとに設定が必要で、管理の負荷が増大します。
- 新しいアカウントを追加するたびに手動の介入が必要です。
- 評価: 運用効率が低く、適切ではありません。
D. Systems Manager Automationを使用
- 解説:
- Automationランブックを作成し、組織内のすべてのアカウントでトレイルを作成します。State Managerを使ってランブックを定期的に実行します。
- 欠点:
- 定期的なAutomation実行の設定が必要で、構成が複雑になります。
- 新しいアカウントの追加対応が手動になる可能性があります。
- 評価: Bと比べて効率が劣り、適切ではありません。
結論
最適なソリューションはB. 管理アカウントに統一的なCloudTrailを作成です。
- 理由:
- CloudTrailを一元管理でき、複数アカウントのログを効率的に収集可能。
- 新しいアカウントが作成されても自動的にログ収集が適用され、運用負荷を削減。
- AWS Organizationsと統合されており、構成が簡単でコストパフォーマンスにも優れています。
この設計により、運用効率が高く、全アカウントのログを確実に記録できます。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/17cd7ae8-88e2-8074-8155-db931bd04aaf
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
