概要
CloudTrail とは、AWS インフラストラクチャ全体でアクティビティをログに記録し、継続的に監視・保持できるサービスです。これによって、セキュリティ分析、変更の追跡、トラブルシューティングをより簡単に実現できます。
このポリシーでは、CloudTrailが有効化されており、設定されたCloudWatch Logsのロググループにおけるログの保存期間が30日になっていることを評価します。
設定時のオプション
No | オプション |
---|---|
1 | 対象とするCloudTrailのタグのキー (必須) |
2 | 対象とするCloudTrailのタグの値 (必須) |
ログの結果条件
No | 結果 | 説明 |
---|---|---|
1 | このポリシーが守られているとされる条件 |
・タグで指定されたすべてのCloudTrailで、保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること |
2 | このポリシーに違反しているとされる条件 |
・タグで指定されたいずれかのCloudTrailで、保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていないこと ・タグで指定されたいずれかのCloudTrailで、保存先として指定されたCloudWatch Logsのロググループに保存期間が設定されていないこと ・タグで指定されたいずれかのCloudTrailで、保存先としてCloudWatch Logsのロググループが指定されていないこと |
設定例
Cloud Automatorで「CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること」をレビューするポリシーセットを作成します。
-
Cloud Automatorの左メニューの構成レビューを展開し、ポリシーセットの作成をクリックします。
-
ポリシーセットテンプレート選択画面で「サーバーワークスおすすめポリシーセット」をクリックします。
-
「CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること」をONにします。
- レビューするCloudTrailにつけられたタグのキー、値を入力して必要な場合は後処理を割り当てます。
- AWSアカウント、リージョンを選択し、ポリシーセット名を入力して「ポリシーセットを作成」をクリックします。
- ポリシーセットの状態がavailableになったら作成完了です。
以上で「CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること」を使ったポリシーの動作確認が出来ました。 ぜひご活用ください。