【保存版】AWSのCloudTrailで誰が・いつ・何をやったのかを追跡しよう！

こんにちは、CryptoGamesの高橋です。

クリスペというサービスを行っている会社です。

CryptoSpells

今回はCloudTrailを扱っていこうと思います。

AWS内での誰が・いつ・何を行なったのかのログを作成することができます。

今回はS3バケット内でオブジェクトの削除を行い、それをログに残していきたいと思います。

０　料金を確認する

作成前に、料金を確認することを推奨いたします。

AWS CloudTrail pricing

料金 - Amazon S3 ｜AWS

１　CloudTrailを立ち上げる

AWSアカウントがない方はアカウントを作成後、下のようにCloudTrailを立ち上げましょう。

２　証跡を作成する

まずは、どんなイベントの時にどこにログを残すかの設定を行なっていきます。

任意の証跡名・AWS KMSキーエイリアスを記入します。

今回はS3内での具体的なオブジェクトの削除処理までをログに残したいので、「データイベント」にチェックを入れます。

「データイベントタイプ」に「S3」を選択します

あとは「証跡の作成」を選択して完了です。

（「認証の作成」ではなく「証跡の作成」ですね。）

３　ログに残すための操作を行う

では、CloudTrailに残すために、次のような操作を行なってみます。

ステップ１　バケットの作成
ステップ２　オブジェクトの作成（アップロード）
ステップ３　オブジェクトの削除
ステップ４　バケットの削除

下のように実際に行なっていきました。

１）　バケットを作成する

S３から次のようにバケットを作成します。

任意の名前をつけて作成します。

２）　オブジェクトを作成する

上で作ったバケットに「test.png」というデータを格納しました。

３）　オブジェクトを削除する

上で作ったオブジェクトを削除します。

このように削除されました。

４）　バケットを削除する

最後に、下のようにバケットも削除しました。

４　CloudTrailのイベント履歴を確認

第３章の一連の流れは無事にログに保存されたでしょうか？

下のように、イベント履歴を見てみます。

すると、バケットのイベントは記録されているものの、オブジェクトのイベントは記録されていないことがわかります。

ここに書いてあるように「過去90日間」の「管理イベント」が表示されているためです。

５　ダッシュボードの「証跡」から確認する

５ー１　ログの保存場所を確認する

では、次のようにして第２章で作った証跡を見てみましょう。

ここにログが格納されています。

５ー２　ログを見てみよう

S3に行ってみると、こちらにログが格納されていました。

日付毎に格納されます。

見たいログにチェックをつけてダウンロードをしてみましょう。

見ると、かなり細かいログが出ていることがわかります。

ここには「イベント履歴」とは異なり、オブジェクトの削除情報までが出ています。

これは第２章で証跡イベントを作成する際、「データイベント」にもチェックをつけたためです。

このように、CloudTrailの「データイベント」を用いることによって、いつ・誰が・何をやったかがログに記録されるようになりました。

６　クリーンアップを行おう

テストが終わり、不要になったリソースは適切に削除を行いましょう。
継続的に料金が発生しないように、とても大事な処理です。

まずはCloudTrailです。

下のように、証跡がなくなったことを確認しましょう。

同様に、S3についても削除を行いましょう。

もしやり方がご不明なら、下記の最後の章をご参考ください。

最後までありがとうございました！

今回は以上です。