AWSアカウント作ったらまずやっておくべきこと!(CloudTrail編)

IT

はじめに

このページに来ていただいたということは、少なからずAWSを使って何かをしてみようと考えている方だと思います。

たとえば、サーバの検証用環境の作成だったり、私のこのサイトみたいなWebサーバとか、
はたまた人口知能の研究なんて人もいるのではないでしょうか。

使い方は多種多様でいろんなことができるAWSですが、
まずはきちんと基盤づくりをして見ませんか?

ということで、今回のお話はCluoudTrailの設定です。
自分のAWSアカウントに対して不正なアクセスが発生していないかを監査できるようになるサービスです。

CloudTrailとは

さてさて、今回お話する「CloudTrail」。
このサービスがどういうものかをまず説明しましょう。

AWS上にはたくさんのサービスがありますが、
その全てに対して「いつ」「誰が」「何をしたか」をあなたは記録していますか?

たとえば、「自分はEC2しか触らないから大丈夫。」なんて言っても
他の悪意を持った誰かがこっそりアカウントに入って使っていた場合、わからないですよね。

ポイントそんなときに「いつ」、「誰が」、「何に」、「何をしたか」を記録してくれるのが、
「CloudTrail」というサービスです!

設定をしなくても、90日間分の記録はデフォルトで保持してくれますが、それ以上前のものは自動で消えていきます。
なので、証跡情報をきちんと消えない場所に残していくために、AWS S3サービスに保存する設定をしてきましょう。

AWSはインターネット上のサービスなので、絶対に100%不正アクセスが起こらないなんて言えないません。
少しでも防御力を上げておくのが被害にあわない最善の道なので、
この設定があるか無いかで被害を最小限に食い止められるかが決まります。

基本的には必須と言いたいサービスなのですが、
この設定を入れた場合、無料利用枠を超えるサービスが出てきますので、費用が発生してきます。

その点を考慮して、設定するかを検討する必要があります。

無料利用枠を使っている時のCloudTrailの使用料は?

AWSのアカウントを作ってから1年間は無料利用枠が設定されており、ある程度までは料金が発生しません。
ただし、今回設定するCloudTrailの設定では課金が発生してしまいます。

では、どこで課金が発生するかと言うとCloudTrailの証跡情報を保存するS3(SimpleStorageService)で
課金が発生してしまいます。

というのも証跡データの保存容量自体は大したことは無いので、無料利用枠の中でも充分収まるのですが、
S3では中にデータを出し入れする操作にも課金が発生してしまうのです。

ポイントつまり、CloudTrailの証跡データをS3に保管する動作自体に課金がされてしまいます。
その額は1000件のデータの投入に$0.005ですので、日本円だとレートにもよりますが約0.5円くらいですね。

ただし、CloudTrailはAWSで何か操作をする度にS3にデータを投入しに行きますので、
使用頻度が高い人ほど料金があがります。

もともと1000件あたり0.5円程度なのでかなりの高頻度で使ったとしても50円を超えるのも大変だと思いますが、
それでもお金がかかることには変わりありません。

色々なAWSの導入サイトがありますが、ほとんどのサイトでCloudTrailの有効化は推奨されていますが、
この課金が発生しているところがあまりありません。

ほとんどのサイトで紹介されるくらいセキュリティ的に推奨なものではありますが、
絶対に無料利用枠の中でしか使わないんだ!という人にはこの設定は行わないことをオススメします
少なくとも90日前までのものは無料利用枠で見れますからね。
(業務利用の場合は、必ず入れるべきだと思いますが。。。)

CloudTrailの設定

さて、では設定していきましょう。

  1. IAMマネジメントコンソールにアクセスする

    まずはIAMマネジメントコンソールにアクセスしましょう。

    IAMユーザーを使って、AWSマネジメントコンソールにログインします。
    ログインの方法は、以下のURLで<アカウントID>の箇所を
    アカウント作成時に発行されるAWSのアカウントIDに変更してアクセスしてください。

    ▪️ログインURL
       ”https://<アカウントID>.signin.aws.amazon.com/console”

    ログインしたら、画面上部のサービスから「CloudTrail」を選択して、CloudTrailのダッシュボードに行きましょう。

  2. CloudTrailの証跡設定

    アクセスしたら、CloudTrailの証跡をS3に保存する設定をしていきます。
    まずは、「証跡の作成」を押しましょう。


    証跡情報の作成画面で、各種パラメータを入力していきましょう。
    デフォルトのままで良いものは省略して、自身で記入しなくてはいけないものを抽出しました。

    ・証跡名:任意の名前
    ・S3バケット:任意の名前
     (ただし、他のユーザと被ってはいけないので、NGとなることもあります。その場合、末尾に数字を足すなどして下さい。)

    無事に作成が完了するとダッシュボードまで戻ってくるので、
    作成した証跡情報があることを確認しましょう。

    これで、CloudTrailの設定は完了です。
    使用中のAWSアカウントに対して行われた操作がCloudTrailによって記録され、
    S3に保存されるのでいつでも証跡をたどることができるようになりました。

まとめ

今回はAWS上のリソースに対するアクセスを監査するCloudTrailの設定方法をご紹介しました。
AWSを使う上では、有効にしておいた方が何かあった時に役立ちますので設定してみてください。

ただし、注意点として、こちらのサービスの設定を行うと部分的に無料枠を超えてしまうため料金が発生します。
料金とセキュリティを天秤にかけて、使用するかを検討してみてください。

コメント

タイトルとURLをコピーしました