【AWS初心者向け】AWS CloudTrail / AWS Configを設定しよう

AWS

2020.08.29 2020.08.22

こんにちは、Ryoです。

今回は、【AWS初心者向け】アカウントを作成した直後にやること-まとめ- のシリーズ第四回、Cloud Config と CloudTrail の設定について解説していきます。

目次

AWS CloudTrail とは？
AWS Config とは？
設定方法は簡単
1. AWS CloudTrail の設定
2. AWS Config の設定

AWS CloudTrail とは？

CloudTrailとはなんでしょうか。まずはAWS公式情報で確認してみましょう。

AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を行うためのサービスです。CloudTrail を使用すると、AWS インフラストラクチャ全体でアカウントアクティビティをログに記録し、継続的に監視し、保持できます。（以下略）
https://aws.amazon.com/jp/cloudtrail/

ガバナンス…コンプライアンス…カタカナが多くて一見わかりにくいですが、

大事なのはここです。

「アカウントアクティビティをログに記録し、継続的に監視し、保持できます」

ものすごく簡単に言うと、操作したログが全て残っていて後から確認できるよ、ということです。

悪さをしてもされても、記録に残るから調べられちゃいますね。非常に大事です！

AWS Config とは？

こちらもまずは公式を確認してみましょう。

AWS Config は、AWS リソースの設定を評価、監査、審査できるサービスです。Config では、AWS リソースの設定が継続的にモニタリングおよび記録され、望まれる設定に対する記録された設定の評価を自動的に実行できます。
https://aws.amazon.com/jp/config/

CloudTrail と似ていますが、こちらはリソースの断面を記録するサービスです。

いつ、どんな構成だったか、が確認できます。

設定方法は簡単

さて、それでは実際に設定をしていきましょう。

AWS CloudTrail の設定

まずは管理コンソールにAdminユーザでログインします。

…以上です。

実はアカウント作成時に有効になっていますので特にやることはないです。

AWS Config の設定

こちらはしっかり設定が必要です。

Config でどのリソースの設定情報を対象とするかを決める必要があります。

まずはリージョンの選択をします。意図したリージョンとなっていますでしょうか。（例として東京を選択）

管理コンソール左上の「サービス」を開き、検索窓に「Config」と入力してConfigメニューへ移動します。（MFAの設定記事で紹介したサービスメニューの開き方と同じです）

AWS Config の画面が開きますので、「今すぐ始める」をクリックします。

順番に見ていきましょう。画面左側にセットアップのステップが表示されています。

AWS Config のセットアップ
ステップ 1: 設定
ステップ 2: ルール
ステップ 3: レビュー

では早速設定をしていきましょう！と思いましたが、ちょっと気になる一文が。

料金。。。もしかして莫大な請求されるのでは、、、と素人の私はとりあえずビビりますが、

高額になりそうなら後から消せばいい、の精神でとりあえず設定をします。

まず「記録するリソースタイプ」です。これは記録する対象のサービスを決めましょうということですね。

ひとまず東京リージョンしか使わないし、多くのサービスを使うわけではないし、

面倒なので「このリージョンでサポートされているすべてのリソースを記録します」を選びます。

次にストレージサービスであるS3に保存先のバケットを作りましょう。

次に「Amazon SNS トピック」と「AWS Config ロール」ですが、こちらはデフォルトのまま。

（通知を受け取りたい場合はSNSの設定を、Config の権限を設定した場合はロールを設定します。今回は割愛。）

設定し終えたら「次へ」をクリックします。

ルールの設定画面に遷移しました。全て設定してしまってもいいんですが、今回はわかりやすく IAM 関連の何かを設定してみましょう。（2020年8月現在、全て設定しようとすると116ルールあるようですね。多い〜）

検索窓があるので「IAM」と入力し、「iam-password-policy」を選択します。

パスワードポリシーを設定して、指定した要件を満たすかどうかを確認するかなりシンプルなルールです。

選択すると画像の通り、ヘッダ部分が青くなるので、その状態で「次へ」をクリックします。

レビュー画面に遷移しますので、選んだルール、バケット名、ロール（今回はデフォルトのAWSServiceRoleForConfig）を確認し、間違いがなければ「確認」をクリックします。

…どきどき

失敗しましたｗ

既にバケットが存在したようです。バケット名を修正して再度設定します。

作成完了後、しばらくするとダッシュボードに作成したルールが表示されています。

非準拠になってしまっていますね。

守るべきルールに対して、実態はルール違反してますよ、ということです。

準拠するための設定変更はまた別の記事で説明したいと思います。

今日はここまで。

最後までお読みいただき、ありがとうございます。

コメント

タイトルとURLをコピーしました