概要
CloudTrail とは、AWS インフラストラクチャ全体でアクティビティをログに記録し、継続的に監視・保持できるサービスです。これによって、セキュリティ分析、変更の追跡、トラブルシューティングをより簡単に実現できます。
このポリシーでは、対象とするCloudTrailのログ保存先として指定された、S3バケットのライフサイクルイベントが1年(365日)となっていることを評価します。
設定時のオプション
No | オプション |
---|---|
1 | 対象とするCloudTrailのタグのキー (必須) |
2 | 対象とするCloudTrailのタグの値 (必須) |
ログの結果条件
No | 結果 | 説明 |
---|---|---|
1 | このポリシーが守られているとされる条件 |
・タグで指定されたCloudTrailのログ保存先S3バケットそれぞれで、S3バケットのライフサイクルポリシーの設定にオブジェクトの削除が365日後と設定されている場合 |
2 | このポリシーに違反しているとされる条件 |
・タグで指定されたいずれかのCloudTrailで、S3バケットのライフサイクルポリシーにオブジェクトの削除が設定されていない場合 ・タグで指定されたいずれかのCloudTrailで、S3バケットのライフサイクルポリシーにオブジェクト削除が365日後以外で指定されている場合 |
設定例
Cloud Automatorで「CloudTrailのログ保存先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること」をレビューするポリシーセットを作成します。
-
Cloud Automatorの左メニューの構成レビューを展開し、ポリシーセットの作成をクリックします。
-
ポリシーセットテンプレート選択画面で「サーバーワークスおすすめポリシーセット」をクリックします。
-
「CloudTrailのログ保存先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること」をONにします。
- レビューするCloudTrailにつけられたタグのキー、値を入力して必要な場合は後処理を割り当てます。
- AWSアカウント、リージョンを選択し、ポリシーセット名を入力して「ポリシーセットを作成」をクリックします。
- ポリシーセットの状態がavailableになったら作成完了です。
以上で「CloudTrailのログ保存先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること」を使ったポリシーの動作確認が出来ました。 ぜひご活用ください。