AWS CloudTrail アップデート – すべてのリージョンを有効に
AWS CloudTrail に関する大切な新機能について、同僚のSivakanth Mundruからのゲストポストになります。
--Jeff
みなさんご存知の通り AWS CloudTrail は AWS アカウントの API アクディビティに対する可視性を提供し、どのユーザがどのリソースに対しAPIの呼び出しを行ったかなど、重要な質問に答えることができます。本日多くの方からリクエストを頂きました2つの機能をリリースさせて頂きます。
- AWS リージョンすべての CloudTrail を一度に有効化できる機能
- 複数 Trail のサポート
すべてのリージョンにおける CloudTrail 有効化
今までは、それぞれ有効にしたいリージョンの CloudTrail をリージョン毎に有効かする必要がありました。この設定に時間がかかるというフィードバックを多くの方から頂き、数回のクリックで全てのリージョンでCloudTrailを有効にする機能を追加しました。
設定はとても簡単です。すべてのリージョンに対し適用されるよう設定すると各々のリージョンで同じ Trail が作成、記録され、ログファイルは各々のリージョンのS3に保存されます。CloudWatch Logs の特定のログ ストリームに連携させることも可能です。
もう少し具体的には、ここでいう ”すべて" とは単一のAWSパーティション内のリージョンを意味します。The US East (バージニア), US West (ノースカロライナ), US West (オレゴン), Europe (アイルランド), Europe (フランクフルト), Asia Pacific (シドニー), Asia Pacific (東京), South America (サンパウロ) リージョンはすべて1つのAWS パーティション内になります。北京 (中国) リージョンはAWS-CNパーティションになります (詳細はAmazon Resource Names (ARNs) and AWS Service Namespacesをご参考ください) 。この機能はAWS パーティションで利用可能になります。
将来加わる新しいリージョンへの対応
既存のリージョンで CloudTrail をすべて有効に設定頂くと今後追加される新たなリージョンに対しましても Trail が作成され、有効化されます。つまり何もしなくても新しく追加されますリージョンにおける API は記録されログを保持することが可能になります。
AWS Management Console から以下のように設定します。
複数 Trail のサポート
CloudTrai のログは AWS アカウントにおけるオペレーション、またはセキュリティのトラブルシューティングに利用でき、内部規制、外部基準といったコンプライアンス準拠を手助けします。ステイクホルダーによりニーズは区々です。複数の Trail をサポートすることで、 必要に応じた Trail を作成し管理することが可能になります。例えば、
- セキュリティ管理者の場合、すべてのリージョンに対し、ログファイルがある KMS 鍵をつかって暗号化されていることを確認するために Trail を作成することができます。
- 開発者の場合、あるリージョン、例えばシドニーリージョンにのみ有効にし、ある特定のAPIが発行された場合にCloudWatch アラームを受け取る設定をすることができます。
- IT監査は、あるリージョン、例えばヨーロッパ ( フランクフルト) を有効にし、CloudTrail により S3 に保存されているログファイルに変更が加えられていないかの整合性の検証を行うことができます。
下記のようなイメージです。
1つのリージョンにつき、5つまで Trail を作成することができます (すべてのリージョンへの適用に関してはそれぞれのリージョンで1つとしてカウントされます) 。
リソースレベルのアクセス権のサポートも、本日の発表の一部なります。そのためどのユーザが Trail にアクセスできるかといった細かいアクセス制御ポリシーを適用することも可能になります。詳細、ポリシーのサンプルに関しましてはCloudTrail documentationをご覧ください。
リージョンを 跨いだ Trail の閲覧と管理
CloudTrail のコンソールに関しても重要な拡張を行いました。
どこのリージョンからでもすべてのリージョンの Trail を閲覧、管理できるようになりました。どこのリージョンからも設定したすべての Trail を見ることが可能です。Trail の名前をクリックすると、自動でCloudTrail の設定ページにナビゲートされます。
ご覧の通り、Allregionstrail はすべてのリージョンに適用されています。つまりAllregionstrail はすべてのリージョンに存在し、ログは記録されS3に保存されます。必要に応じCloudWatch Logsと連携させることが可能です。その他の Trail に関しては特定のリージョンで有効化され、設定に応じそれぞれのリージョンで記録、保持されます。Trail 名をクリックすることで閲覧、編集、削除が可能になります。
価格
すべての AWS ユーザはリージョンに対し1つの Trail を作成でき、無料でCloudTrail がサポートしているサービス API を記録することができます。無料枠が失効することはありません。
すべてのリージョンに適用した Trail は各リージョンに存在し、各リージョン毎に1つとカウントされます。
追加の Trail に関しましては、100,000 イベント毎に2ドルになります。Trail の作成は無料になります。
— Sivakanth Mundru, Senior Product Manager
-- Jeff (翻訳は酒徳が担当しました。本文はこちら。)
コメント