概要
CloudTrail とは、AWS インフラストラクチャ全体でアクティビティをログに記録し、継続的に監視・保持できるサービスです。これによって、セキュリティ分析、変更の追跡、トラブルシューティングをより簡単に実現できます。
このポリシーでは、CloudTrailが有効化されており、設定されたCloudWatch Logsのロググループにおけるイベントのタイムスタンプが24時間以内であることを評価します。
設定時のオプション
| No | オプション |
|---|---|
| 1 | 対象とするCloudTrailのタグのキー (必須) |
| 2 | 対象とするCloudTrailのタグの値 (必須) |
ログの結果条件
| No | 結果 | 説明 |
|---|---|---|
| 1 | このポリシーが守られているとされる条件 |
・タグで指定されたすべてのCloudTrailでCloudWatch Logsのロググループが保存先として指定されており、最新のイベントが24時間以内であること |
| 2 | このポリシーに違反しているとされる条件 |
・タグで指定されたいずれかのCloudTrailで、CloudWatch Logsのロググループが保存先として指定されていないこと ・タグで指定されたいずれかのCloudTrailで、CloudWatch Logsのロググループに保存された最新のイベントが24時間以内でないこと |
設定例
Cloud Automatorで「CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること」をレビューするポリシーセットを作成します。
-
Cloud Automatorの左メニューの構成レビューを展開し、ポリシーセットの作成をクリックします。
-
ポリシーセットテンプレート選択画面で「サーバーワークスおすすめポリシーセット」をクリックします。
-
「CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること」をONにします。
- レビューするCloudTrailにつけられたタグのキー、値を入力して必要な場合は後処理を割り当てます。
- AWSアカウント、リージョンを選択し、ポリシーセット名を入力して「ポリシーセットを作成」をクリックします。
- ポリシーセットの状態がavailableになったら作成完了です。
以上で「CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること」を使ったポリシーの動作確認が出来ました。 ぜひご活用ください。