2024/12/14

AWS CloudTrail 

### イベントの種類
[https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-events.html](https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-events.html)
* **管理イベント**  
    マネージメントコンソールへのログイン、AWSリソースの操作など  
* **データイベント**  
    S3バケットのデータ操作、Lambda関数の実行など  
* **インサイトイベント**  
    異常アクティビティの検知など  
### 設定単位
リージョン

### 主なコンポーネント
```
AWS::CloudTrail::Trail
```
[https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/aws-resource-cloudtrail-trail.html](https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/aws-resource-cloudtrail-trail.html)
### 設定項目
- SSE-KMS 暗号化(デフォルト)  
    > [SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化を使用して暗号化されます。](https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html)

- 整合性の検証(デフォルト)
    > [CloudTrail が配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断するには、CloudTrail ログファイルの整合性の検証を使用することができます。](https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html)

- SNS 通知
    バケットにログが配信されるたびに通知を受け取る場合
- S3バケット  
    CloudTrail用のS3バケットは、バケットポリシーの設定が必要  
    [https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html](https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html)

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optionalPrefix]/AWSLogs/myAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
                }
            }
        }
    ]
}
```

### AWS CloudFormation StackSets のサンプルテンプレート
[AWS CloudFormation StackSets のサンプルテンプレート](https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)
* AWS CloudTrail の有効化
時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)

人気の投稿

  • EC2でAmazon Linux 2023の設定あれこれ
    ## 作業前確認 [Amazon Linux 2023 リリースノート](https://docs.aws.amazon.com/ja_jp/linux/al2023/release-notes/relnotes.html) ### インスタンスのネットワーク設定 ``` ...
  • TCP(Transmission Control Protocol)
    rfc793 TCP Header Format 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 ...
  • SEのための聞く技術
    SEに必要なスキル スキル分類 主なスキル 技術 ・プラットフォーム ・プログラミング言語 ・データベース ・セキュリティ ・ネットワーク メソドロジ ・オブジェクト指向 ・コンサルティング手法 ・アーキテクチャデザイン ・モデリン...
  • AWSとAzureの対応表(早見表)
    --- ## 地理構成・リージョン設計 | AWS | Azure | 説明 | |-----|-------|------| | - | ジオ | Azure独自の地理的分類単位 | | リージョン | リージョン | データセンター群の配置単位 | | - | リージョ...