CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること

概要

CloudTrail とは、AWS インフラストラクチャ全体でアクティビティをログに記録し、継続的に監視・保持できるサービスです。これによって、セキュリティ分析、変更の追跡、トラブルシューティングをより簡単に実現できます。

このポリシーでは、CloudTrailが有効化されており、設定されたCloudWatch Logsのロググループにおけるログの保存期間が30日になっていることを評価します。

設定時のオプション

 

No オプション
1 対象とするCloudTrailのタグのキー (必須)
2 対象とするCloudTrailのタグの値 (必須)

 

ログの結果条件

 

No 結果 説明
1 このポリシーが守られているとされる条件

・タグで指定されたすべてのCloudTrailで、保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること

2 このポリシーに違反しているとされる条件

・タグで指定されたいずれかのCloudTrailで、保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていないこと

・タグで指定されたいずれかのCloudTrailで、保存先として指定されたCloudWatch Logsのロググループに保存期間が設定されていないこと

・タグで指定されたいずれかのCloudTrailで、保存先としてCloudWatch Logsのロググループが指定されていないこと

 

設定例

Cloud Automatorで「CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること」をレビューするポリシーセットを作成します。

  1. Cloud Automatorの左メニューの構成レビューを展開し、ポリシーセットの作成をクリックします。

  2. ポリシーセットテンプレート選択画面で「サーバーワークスおすすめポリシーセット」をクリックします。

  3. 「CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること」をONにします。

  4. レビューするCloudTrailにつけられたタグのキー、値を入力して必要な場合は後処理を割り当てます。__________2020-01-20_18.13.40.png
  5. AWSアカウント、リージョンを選択し、ポリシーセット名を入力して「ポリシーセットを作成」をクリックします。
  6. ポリシーセットの状態がavailableになったら作成完了です。

以上で「CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること」を使ったポリシーの動作確認が出来ました。 ぜひご活用ください。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください